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System comprises a reader (LCL) with a network 
interface creating an upper communications layer 
for exchange of data with the protected 
applications, a micro-controller (100) 
programmable only once which integrates two 
separate circuit parts on a silicon chip that are 
separated by an interface and a portable device 
(CL) able to store a large number of access 
authorizations. Both reader and portable device 
are protected both logically and physically 
against non-authorized access. Any user wishing 
to use software that is protected by the system 
must first possess a license card (CL) on which 
are recorded the user authorizations he has for 
the software protected with the system. The 
license card is read by the reader (LCL). 
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The invention concerns the pro- 
tection of several types of software 
against unauthorised use. consisting in 
an apparatus (licence card reader LCR) 
for simultaneously protecting several 
types of software of several software 
designers and comprising at least one 
communication peripheral (network. I/S 
port), a microcontroller programmable 
only once which integrates on the same 
silicon chip two parts separated by an 
interface. The integrated circuit is log- 
ically and physically protected against 
all attempts of unauthorised intrusion. 
The invention also concerns a portable 
apparatus of relatively small size with 
respect to the chip card connected for 
its use with the LCR apparatus, comprising at least a detachable rccoiding module widi high storage capacity, a microcontroller made 
secure agamst all attempts at unauthorised intrusion into its internal cireuits. TTius the invention pix>vides prot^tion o^^^^^ 
software mdependently of their editors with a single apparatus. ^ v " =>cvcrai lypcs oi 

(57) Abrdg^ 

La pr6sente invention conceme la protection de logiciels contre leurs utilisations non autoris^es. Appareil (lecteur LCL) pemiettant la 
rl^^Tlln^p^^^^^^^ Plusieu^ ogiciels de diff<5rents concepteur. de logiciels et comprenant au moins un pdriph^rique de coS^t on 
1™ / programmable une seule fois qui intfegre sur une m6me pastille de silicium deux parties s6p1^ 

^rt^Hf nf^r*.^! *"'^!fl*^' prot6g6 logiquement et physiquement contre toutcs tentatives d'intnision non autorisdes. Appareil 

poitatif dej^tite taille par rapport k une carte a puces rattachd dans son utilisation h Tappareil LCL. II constitue avec Tappareil ffie 
deuxifeme 616ment de a pr6sente mvention. II comprend au moins un module d'enregistrement amovible de fortes capacitfis de stockage un 

de plusieurs logiciels mddpendammem de leurs 6diteurs par un seul appareil. "w^-uon 
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Protection simultanee de plusieurs logiciels de plusieurs concepteurs de logiciels. 
La pr&ente invention conceme la protection de logiciels contre leurs utilisations non 
autoristes. 

L'industrie du logiciel est sans doute le secteur ou les produits sont le plus facilement copies. 
Or les madias d'enregistrement d'information qui sont en g^nerale des supports optiques, 
magnetiques sont de plus en plus puissants en capacites de stockages. De plus, le temps mis pour 
effectuer une copie de ces medias est rapide. De plus, le prix pour posseder un appareil puissant de 
stockage d'information (disques dures, graveurs de CDROM) a ^te completement democratise de 
sorte que les nouvelles versions de logiciels mises en vente sont tres rapidement confrontees a des 
problemes de copies illicites. De plus, il existe des pays ou la copie illicite est pratiqu^e de mani^re 
industrielle et impun^ment i I'aide de CDROM. Si une telle pratique devait se generaliser, c'est 
tout le monde informatique qui s'ecroule. Les programmes sont developp^s par les concepteurs de 
logiciels, appeles aussi developpeurs. Les licences d^utilisation de leurs logiciels sont ensuite 
vendues aux clients. Les societes concepteurs de logiciels gagnent des profits generalement a 
travers la vente directe de leurs produits logiciel et / ou la vente de licences. 

L*utilisation illicite de logiciels est defmie par rapport a une autorisation d'utilisation de ces 
logiciels. Cette autorisation se traduit done par le fait que le concepteur de logiciel accepte de 
donner une licence d'utilisation qui autorise vis a vis de la loi, I'utilisation de ses produits, au terme 
d'une entente commerciale. 

Le prix de vente des logiciels est calcule avec le nombre d'utilisateurs susceptibles de les 
acheter. Ainsi les profits degages par une society de conception de logiciels dependent assez de la 
maniere dont leurs clients comptent utiliser ces logiciels une fois achetee. Dans la mesure oil apres 
I'achat Tutilisateur est libre de dupliquer le contenu du media contenant ces logiciels, la survie des 
concepteurs de logiciels depend assez de Thonnetete de leurs clients. 

Ainsi, pour les logiciels utilises en reseau, cette licence obtenu autorise en general, I'utilisation 
du logiciel donne que sur un seul poste d'ordinateur. Pour etre utilise sur plusieurs postes, un 
nombre de licences correspondant au nombre de postes d'ordinateurs pr6vus pour I'utilisation de 
ces logiciels sur son reseau, doit etre achete. Bien entendu pour un ordinateur personnel, ce nombre 
est egal a 1. Par rapport aux concepteurs, rien ne peut leur garantir qu'effectivement leurs clients 
respectent bien les conditions liees aux contrats de vente des licences, car en Tabsence de methode 
et/ou moyen, rien n'empeche Tutilisation du logiciel sur un nombre de poste superieur au nombre 
de licences achetees. 

De plus, pour les logiciels utilises sur un ordinateur isole (ordinateur personnel) ou en reseau, 
si aucun moyen n'a ete prise par le concepteur de logiciels, rien n'empeche a ce qu'un utilisateur 
pirate face des copies de ces logiciels sur un media informatique pour les installer sur un nombre 
d'ordinateurs, de maniere illimitee et de les utiliser impunement. II se cree alors des marches noirs 
de ventes de logiciels « pirates ». Ce marche non control^ peut causer de grand dommage dans 
l'industrie du logiciel. 



wo 99/39256 PCT/FR99/00182 

-2- 

Les concepteurs qui desirent controler ce phenomene de copies et/ou d'utilisations illicites de 
leurs logiciels, achetent un appareil electronique permettant de proteger d'une certaine manifere ces 
logiciels. Mais cette solution n'est envisageable que pour certains logiciels. De plus, ces 
concepteurs sont dependants du foumisseur de ces moyens de protections de logiciels. Les 
5 concepteurs de logiciels a petit budget n'ont pas les moyens de proteger leurs produits numeriques 
compte tenu du prix trop elev6 des methodes de protections par rapport aux prix de vente de leurs 
logiciels. 

De plus, Tutilisation de ces appareils 61ectroniques necessite de la part du concepteur de 
logiciels, un achat de ces appareils avant la vente reel de ses logiciels. Cette situation oblige la 
10 constitution d'un stock qui peut representer un desavantage par rapport k ses concurrents qui 
auraient choisi de ne pas utiliser de moyens de protections de logiciels. 

Pour repondre a tous ces problemes d'utilisation de logiciels, differentes solutions ont ete 
apportees jusqu'ici. Une solution de protection de logiciels en reseaux ou en monopostes 
(ordinateurs personnels) est proposee dans le brevet U.S. Pat. No. 5,553,139. Cependant il ne 
15 permet pas de proteger des logiciels par un meme systeme d*appareil provenant de plusieurs 
concepteurs differents de logiciels. 

D'autres methodes sont utilisees pour un ordinateur donn6 par rintermediaire de systemes 
electroniques connectes directement sur un port E/S de Tordinateur bote. Un tel systeme est 
propose dans le brevet U.S. Pat. No. 5,343,524. Cette invention repose sur Tutilisation d'un circuit 
20 electronique base sur un microcontroleur securise, qui ne peut etre reproduit. La protection de 
logiciels par rapport a cette invention conceme le fait que les logiciels proteges puissent verifier par 
rintermediaire de cles, la presence de cet appareil et interagir avec cet appareil. Cependant les 
appareils selon cette invention presentent le desavantage de ne proteger que des logiciels de 
grandes productions en raison de son cout, et d'autre part de ne pouvoir proteger que les logiciels 
25 d'un meme concepteur. Un exemple de produit similaire est distribue par la societe Rainbow. 

D'autre part, des methodes de protection entierement logiciel sont aussi employees. Ces 
protections consistent bien souvent a demander un code d'acces a Tutilisateur. Ce code est ensuite 
verifie a I'aide d'un calcul tres complique. Cependant, il n'empeche pas certains utilisateurs de 
trouver le type de calcul qui est utilise de sorte que les logiciels proteges de cette maniere n'offrent 
30 aucune fiabilite par rapport a la protection de logiciels. 

Des systemes plus puissants sont utilises a travers Tutilisation de coprocesseur pouvant 
calculer une partie des codes d'un logiciel donne et protege selon cette methode. Generalement, ces 
logiciels ne peuvent etre utihses directement dans Tetat actuel ou ils ont 6t€ livres a I'utilisateur, 
car une partie est codec a I'aide de cles de cryptage stockees de maniere securisee en acces, dans 
35 une memoire de type ROM du coprocesseur. Ce principe implique le fait qu'un utilisateur ayant 
obtenu une licence d'utilisation d'un logiciel protege selon cette methode soit attachd a I'ordinateur 
bote sur lequel le logiciel a ete installe. De plus, la possibility de proteger plusieurs logiciels de 
plusieurs societes de concepteur est difficile a mettre en oeuvre. Ainsi, un coprocesseur ayant des 
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caracteristiques similaires est propose par le brevet U.S. Pat. No. 4,817,140. Le coprocesseur 
relative a ce brevet est lanc6 k condition que Tutilisateur dispose d*une cle pour justifier son achat 
de licences d'utilisation. Un tel systeme presente un autre ddsavantage : son utilisation dddi^e a la 
protection de logiciels d'un seul concepteur, peut rendre la presence d'un coprocesseur genant 
notamment quand d'autres concepteurs decide de foumir un moyen de protections de logiciels 
similaire. Dans certains cas, Tajout de nouveau appareil peut etre impossible. Par ailleurs, un tel 
coprocesseur reprdsente un investissement possible qu'avec des logiciels dont le prix est tres haut 
(couteux) par rapport au prix de ce coprocesseur deja on6reux. De plus, I'utilisateur est li6 a 
Tordinateur sur lequel est installd le coprocesseur. 

La plupart des systemes utilises pour la protection de logiciels sont dedi& k une categoric 
precise de logiciels. L'image de ces systemes vis a vis de Tutilisateur peut etre genant dans la 
mesure ou ils sont assimiles a une sorte de police electronique de surveillance et non de 
protections. De plus, ces systemes sont contraignants dans la mesure ou T utilisation de logiciels 
proteges par ces systemes est li6e a Tordinateur bote sur lequel est installe le logiciel. De plus 
Tecriture d'un logiciel protege est tres dependante de I'architecture du moyen de protections, ce qui 
peut rendre le developpement du logiciel complique. De plus, comme dans le cas des « dongles », 
Tutilisateur est lie dans T utilisation des logiciels aux moyens qui servent a la protections de 
logiciels. Ainsi, a titre d'exemple, si un dongle est perdu, cette perte entrame tres souvent la perte 
du droit d'utilisation du logiciel attache au dongle perdu. D'autre part, les systemes de protection 
de logiciels ne tiennent pas compte du fait qu'un logiciel attache i son systeme Electronique de 
protection peut etre vole. Dans ce cas de vol, et d'utilisation illicite par rapport au voleur, il n'y a 
pas moyen d'empecher Futilisation du logiciel vole. De plus, I'utilisateur devra obtenir une 
nouvelle licence par un nouvel achat. 

De plus, certains logiciels proteges sont caracterises par leur utilisation limitee dans le temps. 
Un tel systeme est presente par le brevet U.S. Pat. No. 4,868,736. Ce brevet a le desavantage de ne 
pouvoir realiser que cette fonctionnalite. 

Ainsi, la presente invention permet de remedier a tous les inconvenients qui viennent d'etfe 
cites. 

La presente invention conceme la protection de logiciel contre le non respect des conditions 
d'utilisations des logiciels fixes par son concepteur. Elle conceme I'utilisation d'un seul appareil 
pour proteger plusieurs logiciels independamment des systemes informatiques et du concepteur de 
ces logiciels. II est base sur Tutilisation de deux appareils electroniques qui ne peuvent pas etre 
dupliques sans autorisations. Cette protection contre la duphcation des appareils selon la presente 
invention est realisee grace a une m^thode d'authentification integree dans ces appareils. 

Le premier appareil est un lecteur electronique du second. II est note LCL pour lecteur de 
cartes de licences. Ce lecteur assure la quasi-totalite des fonctionnalites de protections de logiciels 
selon la presente invention. 
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Le second appareil est une carte 61ectronique, not^e CL (carte de licences). Chaque utilisateur 
qui desire executer des logiciels protigis selon la presente invention, doit poss^der une carte CL 
sur lequel les autorisations d'utilisations de logiciels proteges selon la presente invention, sont 
stockees. 

5 Ainsi, la pr&ente invention separe sur trois niveaux la protection de logiciels. Dans un 

premier temps, la presente invention conceme une m6thode permettant la separation du logiciel 
protege (media d'enregistrement) du moyen qui realise la protection de ce logiciel (le lecteur LCL). 
Dans un deuxieme temps, le lecteur LCL est distribu6 de maniere ind^pendante par rapport a la 
distribution des logiciels proteges selon la pr6sente invention. Ainsi, le meme lecteur LCL, pent 
10 etre utilise pour permettre la protection de plusieurs logiciels ind^pendamment des concepteurs et 
du nombre de logiciels. L'utilisation de logiciels proteges selon la pr6sente invention, n'est 
possible que si Futilisateur dispose de la carte CL qui est distribuee independamment du lecteur 
LCL. 

Selon la presente invention, la carte CL est un appareil portatif de petite taille par rapport a 

1 5 une carte a puces. EUe possede un dispositif amovible d'enregistrement de grande capacite. Elle 
permet de stocker des donnees de maniere securisee contre des lectures et/ou modifications non 
autorisees. Elle est essentiellement utilisee comme un dispositif d'acces permettant Tutilisation des 
logiciels proteges selon la presente invention. Les conditions d'utilisation d*un logiciel sont fix6es 
par les concepteurs de logiciels. Un utilisateur ne peut executer un logiciel qu'a condition de 

20 posseder une autorisation qui lui a ete foumie sur sa carte CL lors d*une operation d*achat. La carte 
CL permet de stocker sur un media d'enregistrement amovible un grand nombre d'autorisations 
d'utilisations de logiciels proteges. Ainsi, la carte CL perniet a Tutilisateur de transporter les 
autorisations d*utilisation de logiciels et de pouvoir utiliser les logiciels correspondants sur tout 
ordinateur lorsque Tutilisation de ces logiciels dont il a le droit est possible par rapport a la 

25 presence ou non de ces logiciels proteges sur cet ordinateur. 

La presente invention conceme par rapport a Tusage de cette carte CL un moyen de lutter 
contre les pertes ou le vol de cette carte CL, En cas de pertes ou de vols, la carte peut etre rendue 
inutilisable par Torganisme qui g^e (administre) les appareils selon la presente invention. Une 
partie importante des licences d*utilisations de ces logiciels peut etre recuperer en cas de perte. 

30 Ainsi, Tutilisateur ne coure pas le risque de perdre ses droits d'utilisation d'un logiciel lors de 
pertes de carte CL, ce qui peut etre le cas avec les appareils de protection de logiciels dans I'etat 
actual de Tart. 

La presente invention conceme des methodes de protection de logiciels independamment des 
systemes informatiques. La presente invention permet la protection de logiciels utilises en leseau 
35 et/ou sur xm ordinateur personnel. Le lecteur LCL possede ime grande capacite de modularity par 
rapport aux differents peripheriques qui peuvent etre ajoute sur son systeme electronique interne. 
Ainsi, il tres facile de connecter le lecteur LCL sur tout environnement informatique. Ainsi, la 
protection de logiciels selon la presente invention, est realisable avec le meme lecteur LCL dans 
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des systemes informatiques trhs h6t6rog6nes ou de nombreux systfemes differents cohabitent Le 
fonctionnement des lecteurs LCL est independant dc ces systemes informatiques. Par consequent, 
les lecteurs LCL permettent la protection des logiciels independamment des systemes 
informatiques prevus pour ex^cuter ces logiciels. 

La pr6sente invention permet le d^veloppement de logiciels proteges independamment des 
caractiristiques techniques des appareils selon la pr&ente invention. Le d^veloppement des 
logiciels proteges selon la presente invention, est independant du fonctionnement interne du LCL. 
La realisation d'un logiciel proteg6 selon la presente invention est rendue possible en faisant 
executer une partie des fonctions qui composent ce logiciel par les ressources interne du LCL. 
L'ecriture de ces fonctions est completement transparente dans la mesure oii le concepteur de 
logiciel n'est pas tenu de respecter Tarchitecture electronique du LCL. Le bon fonctionnement de 
ces fonctions peut meme etre teste a I'exterieur du lecteur LCL, de sorte que le travail de 
protections de logiciels pour le concepteur s'arrete k Tdcriture de ces fonctions. Ces fonctions sont 
essentiellement des fonctions de calculs de petite taille par rapport a la taille d'un logiciel standard 
et dont Texecution est tres rapide. Ainsi, plusieurs logiciels proteges diffdrents peuvent etre utilises 
dans le cadre d'un reseau avec le meme lecteur LCL. De plus, plusieurs logiciels proteges selon la 
presente invention peuvent done etre utilises sur un ordinateur personnel avec un seul lecteur LCL. 
Le fonctionnement du lecteur LCL utilise avec un ordinateur personnel par rapport a une utilisation 
dans un environnement reseau ne differe qu'au niveau des peripheriques de communication utilises 
dans chaque cas. 

Selon la presente invention, le lecteur LCL realise la protection de logiciel en effectuant des 
mesures sur Tutilisation de tous les logiciels en cours d'ex^cution. Le lecteur LCL est selon la 
pr6sente invention, capable de connaitre le nombre de licences utilisees sur un ordinateur et/ou sur 
tout le reseau auquel il est connect^. II est capable de connaitre la duree d'utilisation d'un logiciel 
donn^ par un utilisateur donn^. Selon la presente invention, il est capable de connaitre toutes les 
informations d'utilisation concemant un logiciel donnee par rapport au temps. Ces moyens de 
mesure propre au lecteur LCL permettent au lecteur LCL d'arbitrer ^utilisation des logiciels 
proteges selon la presente invention. Cet arbitrage est effectue par rapport aux conditions 
d'utilisation de chaque logiciel protege selon la presente invention. Ces conditions sont fixees par 
le concepteur de ces logiciels. 

Ainsi, selon la presente invention, la carte CL sert a stocker des autorisations d^utilisations de 
logiciels et le profil de Tutilisateur par rapport a son utilisation des logiciels proteges selon la 
presente invention. Le lecteur LCL est charge de verifier si le profil de I'utilisateur par rapports a 
ses droits d'utilisations des logiciels, correspond bien aux conditions d'utihsation fixees par le 
concepteur de ces logiciels, Ces conditions peuvent etre selon la realisation de la presente 
invention, des conditions d'utilisations limitees dans le temps, des conditions d'ouverture 
simultanee d'un nombre de sessions d'execution limitees par le nombre de licences d'utilisation 
possedees par le proprietaire de la carte CL. 
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Ainsi, un seul lecteur LCL peut arbitrer sur im ou plusieurs ordinateurs rutilisation de un ou 
plusieurs logiciels differents prot6g& selon la pr^sente invention. Les rfegles d'arbitrages peuvent 
etre spteifiques i chaque version de logiciels, ce qui permet la protection de plusieurs logiciels par 
un seul appareil selon des criteres specifiques a Tutilisation de chaque logiciel protege. 

5 La presente invention permet une distribution des logiciels proteges independamment des 

moyens de protection de sorte que le developpeur de logiciels peut ne pas constituer de stocks 
d'appareils permettant la protection. Ainsi, la protection de logiciels selon la presente invention est 
interessante pour les petites et les grandes distributions de logiciels : Tusage d'un seul appareil 
pour la protection de plusieurs logiciels independamment des concepteurs ne peut que diminuer le 

10 cout d'utilisation du systeme de protection de logiciels selon la presente invention. De plus, la 
presente invention permet une grande souplesse par rapport a 1' administration des logiciels 
proteges. La vente des autorisations d'utilisation d*un logiciel donnees peut etre centralisee ou 
decentralisee. 

De plus, selon la presente invention, la creation de logiciel protege peut etre effectuer de 
15 plusieurs maniere. Les autorisations pour cr6er un logiciel protege selon la presente invention, 
peuvent etre centralisees ou decentralise (situation decrite dans le cas de developpement de 
logiciels de demonstrations ou de logiciels dont Tutilisation est limitee). 

De plus, les appareils selon la presente invention peuvent effectuer des communications avec 
des systemes distants. L'administration de ces appareils est effectuee par un systeme distant qui est 
20 selon la realisation de la presente invention, un serveur note aSVR. Ce serveur fixe les conditions 
d'utilisations des appareils selon la presente invention. II arbitre de maniere generale Tutilisation 
des appareils selon la presente invention. 

De plus, les autorisations d'utilisation de logiciels contenue dans une carte CL peuvent etre 
soit deplacees dans le lecteur LCL, soit dans une autre carte CL. Dans le cas ou le d^placement 
25 aurait lieu vers un lecteur LCL, I'acces aux logiciels proteges peut etre realise sans la presence 
d'une carte CL. Dans le cas de deplacements vers une autre carte CL, cela permet des distributions 
de licences d'utilisations de logiciels par des revendeurs. La pr6sente invention permet ou non la 
centralisation des ventes des autorisations de logiciels. 

De plus, selon la presente invention, le lecteur de cartes LCL possede un ou des dispositif(s) 
30 qui permet un rajout de peripheriques rapidement et facilement. Selon des modes particuliers de 
realisation, le lecteur LCL dispose d'un recepteur radio pour recevoir des informations de maniere 
s6curisee ou non grace a un dispositif d'6mission gere par ledit serveur aSVR. Ce recepteur est 
essentiellement utilise pour des operations d'achat d'autorisations d'utilisation de logiciels hors 
ligne, des operations de mise a jour. II permet aussi de gerer la securite d'utilisation des appareils 
3 5 selon la prdsente invention. 

La pr6sente invention permet par ses moyens et ses methodes des achats soit par des 
connexions informatiques, soit par un systeme d'accueil humain. Les achats peuvent done etre 
effectu^s en ligne ou hors hgne. Ces achats consiste en Tacquisition des autorisations d'utilisations 
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de logiciels protdges selon la pr&ente invention. La presente conceme remploi d*un rfcepteur 
radio numerique permettant en particulier la reception de ces autorisations d'utilisations. 

Pour r^aliser la protection de plusieurs logiciels independamment de leurs concepteurs, la 
presente invention conceme Tutilisation au sein du lecteur LCL, d'un microcontroleur s6curise 
contre les lectures et/ou les modifications non autorisees de sa memoire interne et contre des 
attaques de virus informatiques qui peuvent etre rencontrds dans la mesure ou ce microcontroleur 
execute des programmes dont il ignore la fiabilit6, Tutilisation du lecteur comme moyen de 
protection de logiciels est libre en dehors des accords commerciaux eventuels. Ainsi, cette 
propriety permet k ce que Tusage du lecteur LCL et de la carte CL sont completement libre. 

Pour permettre a I'utilisateur de transporter des autorisations d'utilisations de logiciels 
proteges, la carte CL est de petite taille. II est base sur un microcontroleur permettant de s6curiser 
Tacces aux informations qui d^finissent les droits d'utilisations d'un logiciel donne. II peut stocker 
un tres grand nombre d'autorisation d'utilisations de logiciels proteges selon la presente invention. 
Les informations sont stockees sur un media d*enregistrement de fortes capacites. Elles sont 
protegees contre toutes modifications et lectures non autorisees. De plus, le systeme interne de son 
microcontroleur est aussi protege contre tout controle physique et logique. 

De plus, la presente invention conceme un systeme de protection de logiciel evolutif dans la 
smesure ou il est possible de mettre a jour Tensemble des systemes informatiques contenus dans les 
microcontroleurs cites precedemment. Compte tenu de leur capacite de securiser le stockage de 
dpnnees et I'execution de programmes, compte tenu aussi de la possibilite de mettre facilement a 
Jour les systemes informatiques des appareils selon la presente invention, la presente invention 
permet a des appareils de protection de logiciels d'etre utilis^e dans d'autres secteurs 
d'applications. 

Les dessins annexes illustrent 1' invention : 

La figure 1 illustre Tensemble des variantes de connexion mise en jeux dans la presente 
invention, et reflete le fonctionnement general de T invention. Elle permet de comprendre les 
differents contextes d'utilisations des appareils selon la presente invention. : 

La figure 2 illustre les differentes couches de logiciels necessaires pour que un LCL donne 
puissent se connecter vers un systeme distant. 

La figure 3 illustre le schema synoptique de 1' architecture du microcontroleur utilise dans 
I'appareil LCL. 

La figure 4 reflete les associations possibles entre deux LCL concurrents sur le meme reseau, 
pour permettre le partage des operations liees a la protection de logiciels par la presente invention. 

La figure 5 illustre le schema synoptique des differents elements composant la carte 
electronique CL, notamment Tarchitecture du microcontroleur associe a une carte CL. 

La figure 6 represente une vue de face du boitier de la carte CL. 

La figure 7 represente une vue en perspective du boitier CL avec la carte CompactFlash sortie 
de son support. 
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La figure 8 illustre les jeux de connecteurs males femelles entre LCL et CL. 
La figure 9 illustre le fait que les appareils selon la presente invention possedent des durtes 
d'utilisation par rapport au calendrier. 

La figure 10 illustre les etapes d'une procedure d'authentification empechant des appareils 
5 pirates de fonctionner avec les appareils (lecteurs LCL et cartes CL) certifies. 

La figure 11 illustre les etapes d'une op&ation d'achat de licences d'utilisation de logiciels 
prot^gds selon la presente invention. 

La figure 12 illustre un arbre logique, simplifie et utilise par le systeme d'exploitation du 
microcontrdleur 100 pour effectuer la protection de logiciel. 
10 En reference a la figure I, selon la realisation de la presente invention, I'ensemble du systeme 

qui exploite le lecteur electronique, peut avoir une gestion centralisee par Tintermediaire d'un 
serveur aSVR qui possede une base de donnees 12 relatives aux appareils selon la presente 
invention. L^ensemble des Elements compris dans I'encadre 10 est g6re par un organisme donne. 
Cet organisme est le distributeur des appareils relatifs a la presente invention. Le serveur aSVR 
15 peut conununiquer avec des systemes informatiques distants utilisant un lecteur LCL. Selon des 
variantes de la realisation de la presente invention, un lecteur LCL peut posseder un moyen pour se 
connecter soit directement sur un reseau 40, soit sur un port E/S d'un ordinateur personnel 
(contexte represente par Tencadre 30) ou posseder un radiorecepteur num^rique 22 (contexte 
represente par I'encadre 20). 
20 Selon la realisation de la presente invention, la figure 2 illustre les differentes couches 

traversees par LCL pour atteindre un systeme distant. Les communications entre le systeme distant 
et LCL sont gerees par deux programmes toumant sur un ordinateur 50. La connexion 54 entre 
rordinateur et un lecteur LCL peut en fonction du type d'utilisation etre une connexion reseau dans 
le cas de I'encadr^ 40 ou une connexion directe sur un port E/S de I'ordinateur 50 dans les 
25 contextes 30 et 20. Le port retenu pour la realisation de la presente invention, dans les contextes 30 
et 20, est un port USB (Universal Serial Bus) pour des raisons de rapidity, en supposant que les 
ordinateurs utilises possedent un tel port de communication. La description de la presente invention 
a retenu pour le contexte d'utilisation 40, le cas d'un reseau Ethernet avec le protocole TCP/IP. 
Ainsi, dans ce contexte le lecteur LCL possedera un peripherique reseau adequat. Le programme 
30 PGM 52 permet de communiquer de maniere interactive avec un lecteur LCL donn6. Ces 
communications se font grace au programme driver DRV 51. En reference a la figure 2, ce driver 
51 realise toutes les fonctions de communications entre un lecteur LCL et un ordinateur 50 
connects a ce lecteur. Les differentes fonctionnalit^s de ces deux programmes propres a la gestion 
des appareils selon la presente invention, seront definie par la suite. Le programme PGM pennet 
35 d'assurer au lecteur LCL une conununication avec un systeme distant. Pour realiser cette 
communication, PGM utihse les ressources de communications 53 de I'ordinateur hote 50. Le 
programme DRV assure quant a lui la communication locale entre le lecteur LCL et le programme 
PGM. Dans le cas 30, il peut s'agir du modem 31 permettant une connexion vers le reseau Internet 
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auquel est attache le serveur aSVR. Selon la rdalisation de la pr6sente invention, pour le cas 40, la 
ressource de communication 53 est celle de Tordinateur 50 par rapport aux ressources du r^seau 
local, permettant un accfes vers un syst^me distant via le reseau Internet. 

L'utilisation des lecteurs LCL est sous soumise par une condition d'identification lors de sa 
mise en marche, et par une condition de la connexion effective de la carte CL sur un support du 
lecteur LCL. Ces deux conditions seront decrites par la suite. 

Le contexte 20 correspondant k des situations oix le lecteur LCL est connecte sur un ordinateur 
ne poss^dant pas de moyens de communication avec un systeme distant. Ce fonctionnement sera 
decrit par la suite. 

Selon la presente invention, la protection de logiciel est rendue possible en faisant executer 
une petite partie des fonctions d'un logiciel donne, par ledit lecteur electronique, noti LCL. Ladite 
carte electronique, not6 CL, possede les autorisations d'utilisation du logiciel. Compte tenu de sa 
capacite de stockage, la carte CL pent stocker une grande quantite d'autorisations d'utilisation. De 
cette maniere, la presente in\ention permet par le moyen d*un seul dispositif electronique, la 
protection de plusieurs logiciels simultanement et independamment de leurs concepteurs. 

Selon la realisation de la presente invention, le lecteur LCL et la carte CL sont respectivement 
associes a deux numeros de serie uniques. L*ensemble des informations permettant le 
fonctionnement du lecteur LCL et de la carte CL pour realiser la protection de logiciels, est gere 
par le serveur aSVR a I'aide de sa base de donndes 12 qui doit etre protegee centre des acc^s non 
autoris^s par rapport a la securite du systeme mise en place pour la protection de logiciels. 
L*organisme en question qui gere aSVR attribue respectivement a une carte CL donn6 et un lecteur 
LCL donne, les numeros de series ID.c et ID.d, et les cles secretes de codages kT.c et kT.d. Les 
numeros ID.c et ID.d sont uniques. Ces deux numeros et ces deux cles secretes sont stockes dans de 
la memoire non volatile qui se trouve dans le systeme electronique de CL et de LCL. Des 
precisions seront donnees ulterieurement. Les couples (ID.c, kT.c) et (ID.d, kT.d) sont stockes par 
ailleurs dans la base de donnees 12 accessible uniquement par aSVR pour des raisons de securites 
evidentes. Les cles kT.c et kT.d sont connues uniquement par aSVR, en dehors des appareils LCL 
et CL. 

De plus, selon la realisation de la presente invention, les numeros ID.c et ID.d sont publics, 
mais non modifiables. Cela signifie qu'ils sont stockes dans la memoire protegee du systeme 
electronique integre dans chaque appareil relatif a la presente invention, et qu'ils sont 
communiques par ailleurs a leur utilisateur sous une forme claire. Selon la realisation de la presente 
invention, ils sont marques sur le boitier de CL et de LCL. De plus, la presente invention ne 
conceme la forme du boitier utilise pour le lecteur LCL. 

Selon la realisation de la presente invention, la m^thode de cryptage adoptee avec les cles 
secretes de codage kT.d et kT.c, conceme le cryptage DES (data encryption standard) developpe 
par la societe IBM. Ces deux cles ont une taille de 128 bits suffisante contre des craquages de 
codes. Selon des modes particuliers de realisation, on pourra choisir d*autre type de cryptage et de 
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taille de cMs de codage. 

Selon la pr6sente invention, ks appareils LCL et CL sont paiametrables dans une certaine 
mesure par I'intenn^diaire d'un programme infonnatique, note PGM, adapte pour chaque type 
d'ordinateur et de systemes d'exploitation infoimatique. PGM permet a un utilisateur de demarrer 

5 des procedures relatives a des operations necessitant une intervention de I'utilisation. Ces 
procedures sont d&rites par la suite. PGM est distribue par ledit organisme qui gere aSVR. A 
rinstallation de PGM sur un ordinateur bote, une operation de localisation d'un lecteur LCL est 
effectuee. Si un lecteur LCL est connecte directement sur un port de communication de Pordinateur 
bote, un driver logiciel DRV de communication h travers ce port est install^ afin de permettre i un 

10 pro^amme de cet ordinateur d'envoyer des domites vers LCL et d'en recevoir de LCL en suivant 
le schema de la figure 2, sans tenir compte des caracteristiques techniques de la communication 
entre cet ordinateur et le lecteur LCL comiecte. Le driver DRV permet une utilisation transparente 
du lecteur LCL. 

Dans le cas oil des logiciels proteges seraient utilises en reseau (il s'agit du contexte 40), un 
1 5 programme driver DRV ad^quat sera install^ sur chaque ordinateur du r6seau, pour permettre la 
communication entre ces ordinateurs et le LCL connecte sur ce reseau local. Le driver DRV peraiet 
une utiHsation transparente de LCL pour chaque ordinateur du r6seau qui peuvent avoir des 
systemes informatiques diffdrents entre eux. 

A son installation sur le reseau Ethernet, le lecteur LCL re9oit une adresse IP par rapport au 
20 protocole TCP/IP, qui permet au driver install sur les ordinateurs du reseau de le localiser. 

De plus, chaque driver DRV permet a chaque ordinateur bote ou sont utiUses des logiciels 
proteges par la presente invention, de communiquer avec le lecteur LCL. La realisation de la 
pr&ente invention permet aussi k ce que plusieurs programme PGM puisscnt etablir des 
communications avec un lecteur LCL donn^ coraiecte sur le rdseau considdr6. Dans son utilisation 
25 reseau 40, le lecteur LCL en cas d'utiUsation intensive, peut partager avec d'autre lecteur LCL, sa 
fonction de protection de logiciels comme on le voit sur la figure 4 ou une repartition des 
ordinateurs utilisant deux lecteurs LCL est iUustrde. La repartition des lecteurs LCL presents sur le 
reseau avec les ordinateurs est, selon la realisation de la presente invention, realisee par 
I'administrateur reseau. Ce dernier effectue la repartition des ordinateurs du reseau par rapport aux 
30 lecteurs LCL presents sur le reseau, au moment de I'installation de DRV sur chaque ordinateur de 
ce reseau. II indique a DRV I'adresse IP du lecteur LCL a utiliser. 

Apres I'installation de PGM sur un ordinateur h6te, les utilisateurs de cet ordinateur peuvent 
alors effectuer sur un lecteur LCL donne, connecte avec une carte CL donnee les differentes 
operations suivantes : achat en bgne de licences d'utibsation de logiciels proteges par ia presente 
35 invention, deplaceraent d'un certain nombre de bcences d'utilisation de logiciels d'une carte CL 
vers une autre carte CL, des operations de recuperation de licences perdues avec la perte d'une 
carte CL, la mise h jour des programmes contenus dans les memoires eiectroniques du lecteur LCL 
ou de la carte CL. 
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Ainsi, la realisation de la pr6sente invention considire un logiciel donn^, note LD, Les 
descriptions suivantes sont valables pour tout autre logiciel Son concepteur (fabricant) le protege 
selon la pr6sente invention, contre des utilisations ill6gales en separant Tensemble des fonctions 
composant son logiciel en deux parties. La premiere partie conceme les procedures dont il desire 
5 laisser rex^cution k un ordinateur bote. La deuxieme partie conceme les fonctions qui devront etre 
ex^cutees par les ressources de calculs de LCL. Ces fonctions doivent etre rapide a executer. Leur 
taille est de Tordre du 100 kilooctets. 

De cette deuxieme partie dudit logiciel LD, il en extrait une liste de fonctions {Fo, F,,...^i, 
...Fn). Ces fonctions sont nteessaires pour le fonctionnement du logiciel LD. Pour effectuer cette 
10 extraction, il doit respecter une regie primordiale : ces fonctions ne doivent pas faire appel a des 
ressources caracteristiques des ordinateurs prevus pour Texteution de LD. Cette condition est assez 
facile a respecter. Par exemple, ladite liste de fonctions peut etre uniquement des fonctions de 
calculs purs. 

Selon la realisation de la presente invention, r^criture de ces fonctions et le test de leur bon 
15 fonctionnement peuvent etre realises independamment de la presence du lecteur LCL. Le moyen 
retenu pour la realisation de la presente invention, conceme la machine virtuelle JAVA. Ainsi, ces 
vfonctions sont ecrites en JAVA. Ces fonctions sont done compilees en « byte code » du langage 
universel JAVA et stockees dans un fichier, note LF. 

Par ailleurs, selon la realisation de la presente invention, la protection du logiciel LD 
20 commence alors par Texecution du programme PGM sur un ordinateur contenant LF. Selon la 
realisation de la presente invention, PGM demande alors au concepteur de LD le systeme 
d'exploitation (WINDOWS NT. DOS, UNDC,. . .) et le type d'ordinateur (MACINTOSH, SPARC, 
PC,...) qui executeront LD. Apres ces r^ponses, PGM lance une procedure de connexion du lecteur 
LCL disponible vers le serveur aSVR. La communication entre LCL et aSVR se fait selon la figure 
25 2. Le numero de serie du lecteur LCL est donne en premier au serveur aSVR, Durant cette 
procedure de creation d'un logiciel protege par la presente invention, LCL demande a aSVR en 
communication securisee un numero de serie S# a associer au logiciel a proteger LD et une cldide 
codages kX.S#. 

Selon la realisation de la presente invention, S# est defmit sur 128 bits, et la cle kX.S# est 
30 definie par rapport au cryptage DES avec une taille de 128 bits. 

Selon la realisation de la presente invention, pour effectuer ladite communication securisee 
avec aSVR, LCL commence par envoyer i aSVR son numero ID.d sous une forme non codec. Par 
association avec la cle correspondante, aSVR trouve dans sa base de donnees 12, la cl^ kT.d a 
associer a ID.d. 

35 Ainsi, aSVR retoume a LCL, S# et kX.S# sous une forme codec avec la cle kT.d. Le lecteur 

LCL recupere la forme claire de S# et kX.S# en decodant avec la cle kT.d qui se trouve dans sa 
memoire interne 1 1 1, par rapport a Talgorithme de cryptage DES. 

Selon la presente invention, la cle kX.S# est connue par aSVR seul, car apres utilisation. 
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kX.S# sera efface de la memoire s6curis6e DRAM 109 de LCL. De plus, S# esi communique a 
PGM qui I'inscrit dans un fichier binaire contenant les conditions limites d'utilisation du logiciel. 
Selon la realisation de la presente invention, ce fichier peut avoir le format suivant : S# du logiciel 
associe (128 bits), licences permanentes (8 bits), duree d'utilisation (24 bits), Tutilisation expire fin 
5 (16 bits), nombre d»executions (32 bits). Ce fichier fait done une taille de 26 octets. {Fo, F,,...J^i, 
...F„} subissent ensuite des operations de cryptage. La fonction Fo est traitee k part. II s'agit selon 
la realisation de la presente invention, de la procedure dite d'initiahsation permettant d*une part de 
compter le nombre de licences utilis6es sur le reseau dans le contexte reseau 40, et d' autre part de 
mesurer des caracteristiques d'utilisation du logiciel LD par rapport au temps. C'est une fonction 
10 qui est executee durant Texecution du logiciel LD par un utilisateur, et de fa9on repetitive. Fo est en 
particuHer la premiere fonction qui sera executee par LCL lors de Touverture d'une session 
d'executions du logiciel LD. 

Fo est codec avec une cle differente de kX.S#. Pour cela le logiciel PGM genere une cle du 
meme type notee kEL.S# par rapport au cryptage DES. La cle kEL.S# est connue uniquement par 
1 5 le concepteur de LD. Selon la realisation de la presente invention, kEL.S# est une cl6 de 128bits. II 
est de la responsabilite du concepteur de conserver en s6curite cette cle kEL.S#. A cette fonction 
codee, il joint une autre information codec aussi par la cle kEL.S#. II s'agit du fichier contenant les 
conditions limites d'utilisation du logiciel LD. Ces inforaiations cod^s constituent alors un fichier 
nomme eFo selon la realisation de la presente invention. 
20 De plus, selon la realisation de la presente invention, les autres fonctions sont ensuite codecs 

par la cle kX.S#. Pour cette etape, PGM envoie ensuite F,,. . .,Fi, . . .F„ vers LCL par I'intermfediaire 
de DRV. Les ressources de calculs de LCL codent alors ces fonctions successivement avec la cle 
kX.S#. A la fin des operations de codage, LCL retoume {eFi,....,eF„} correspondant 
respectivement aux formes codecs de {F|,..., Fn}. 
25 Selon la realisation de la presente invention, PGM precede ensuite a I'assemblage du logiciel. 

Pour un systeme d'exploitation donnee, PGM cree un fichier bibliotheque de fonctions qui seront 
executee durant I'execution du logiciel LD sur I'ordinateur d'un utilisateur donne, Les differentes 
fonctions de la bibliotheque permettent de charger un element de {eFo, • ■ ..,eF„} avec les param^tres 
necessaires a I'execution de la fonction correspondante, vers le lecteur LCL lors de I'utilisation de 
30 LD. eFO, ....,eFn seront respectivement chargees par les fonctions FFo,....,FF„ creees par PGM. 
Ces fonctions sont creees par rapport au type de systemes d' exploitations et le type d'ordinateurs 
associes qui ex6cuteront LD. PGM rassemble ainsi {FF0,...,FFn} et {eFO,...,eFn} avec le reste du 
logiciel LD ainsi protege, et numerote S#. Le tout est ensuite mis sur media d'enregistrement, par 
exemple un CDROM. Le logiciel est ainsi protege et pret a etre diffiise librement, car il ne pourra 
35 pas etre utihse dans I'etat actuel. Ainsi, la distribution du media d'enregistrement peut etre 
effectu6e de mani^e completement libre. 

Ainsi, la protection de logiciel selon la presente invention, est baste sur I'utilisation des 
ressources de calculs du lecteur LCL. 
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Selon la presente invention, le lecteur LCL est un lecteur electronique constiiiit autour d'un 
microcontroleur 100 s^curise physiquement et logiquement afin de pr^venir centre les tentatives de 
pirates pour des contrdles 61ectroniques non autorises. Compte tenu du fait que ce microcontroleur 
100 est amen6 a exteuter des programmes d'origine inconnue, la pr6sente invention conceme un 
5 moyen d'empecher des attaques informatiques du microcontroleur 100 par Tintermediaire de virus 
informatiques. Cette mesure est prise pour empScher un virus de lire des informations 
confidentielles liees aux fonctionnements du lecteur LCL. Ainsi la presente invention permet de 
securiser k la fois le stockage d'information et 4 la fois Texecution de tout programme exterieur 
aux programmes initialement charges dans le microcontroleur 100. 

10 Selon la realisation de la presente invention, I* architecture retenue du microcontroleur est 

construite autour d'un systeme base sur un jeu de deux processeurs utilises en maitre esclave. En 
reference k la figure 3, le microcontroleur 100 int^gre sur la meme pastille de silicium deux parties 
principals 130 et 120. Les methodes d'integration ASIC (Application Specific Integrated Circuit) 
sont employees pour realiser ces pastilles de silicium. La partie 130 comporte un processeur CPUl 

15 qui est le processeur maitre. II est reli^ par un bus interne 101 a un module de memoires FLASH 
111, un module de memoires DRAM 109, un generateur de nombre aleatoire 112, un port E/S 
RS232 151, un port USB 152, un controleur de cartes a puces (SmartCard) 153, un controleur 
PCMCIA 154, un controleur clavier et ecran LCD 155, un controleur 113 du processeur esclave 
CPU2 qui se trouve dans la partie 120, une interface 106, une interface Bus exteme 105, une 

20 horloge temps reel programmable interne 104, un systeme de microfusible interne 102 qui permet 
de sortir le bus interne 101 a Texterieur du microcontroleur 100. La partie 120 du microcontroleur 
100 comporte un watchdog 108. Le CPU2 est relie par le bus interne 1 14 a un module de memoires 
DRAM 110, un controleur DMA 107, et une interface 106. L'esclave CPU2 est commande par 
rintermediaire du controleur 113 et de Tinterface 106. Ces deux demiers systemes electroniques 

25 (1 13 et 106) sont contrdles uniquement par le processeur maitre CPUl . Ainsi, une telle architecture 
permet Texecution des programmes d'origine inconnue sans pour autant endommager Tintegrite 
des informations contenues dans le microcontroleur 100. 

Selon des modes particuliers de realisation, le microcontroleur 100 peut ne pas integrer sur la 
meme pastille de silicium tout ou partie des elements suivants : Port E/S RS232 151, port USB 152, 

30 controleur de cartes a puces 153, controleur PCMCIA 154, controleur clavier et €crm LCD 155. 
Selon des modes particuliers de realisation non illustres, et afm d^accelerer la vitesse de traitement 
d' informations, le microcontroleur 100 peut comporter sur la meme pastille de silicium un 
coprocesseur de cryptage adapte par rapport a la technique de cryptage DES. Bien entendu ce 
coprocesseur de cryptage sera integre dans la partie 130 relie sur le bus interne 101. 

35 Selon la presente invention, Thorloge temps reel interne 104 est alimentee par une pile 

electrique 103 exteme par rapport au microcontroleur 100. Son fonctionnement est autonome. Cette 
horloge est int^gree sur ladite pastille de silicium afin d'empecher des tentatives de controles 
electroniques faussant Theure et la date qu'il foumit au CPUl. Compte tenu de la faible 
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consommation 61ectrique de cette horloge, la pile electrique permet de foumir en continue le 
courant necessaire au fonctionnement de cette horloge pendant toute la duree d^utilisation du 
microcontroleur 100 comme organe central du lecteur LCL. Eventuellement, une procedure de 
mise a I'heure de Thorloge 104 pourra etre effectuee par le serveur aSVR. L'horloge 104 permet de 
5 mesurer le temps d'utilisation des logiciels proteges et d'effectuer des op&rations dependant de la 
date et de Theure. 

Le bus interne 101 est sorti vers rexterieur du microcontroleur 100, par Tintermediaire du 
systeme de microfusibles 102. Selon une variante non illustree, le systeme de microfusibles est 
evite en employant de la m^moire OTP EPROM interne. Cette variante permet les memes niveaux 
1 0 de securite que 1* utilisation du systeme de microfusibles 102. 

Le systeme de microfusibles 102 permet de realiser un systeme de microcontroleur 
programmable une seule fois. Les donnees necessaires pour mettre en service les lecteurs LCL 
(cles de codages secretes, numeros de serie, identifiants, dates, heures), et le systeme d'exploitation 
du microcontroleur 100 regroupant des programmes penfnettam aux lecteurs LCL de realiser 
15 directement et/ou indirectement toutes les fonctionnalites relatives a la presente invention, sont 
programmes en usine dans la zone memoire de memoire non volatile (memoire Flash 111). Le 
systeme d*exploitation est execute dans la memoire DRAM 109. 

La realisation de la presente invention utilise de la memoire FLASH comme support de 
stockage permanente pour le microcontroleur 100. Le choix d'une telle memoire FLASH peut 
20 permettre une mise a jour tres facile du systeme d*exploitation initialement programme en usine. 

Selon la realisation de la presente invention, les heures et les dates sont donnees, sauf mention 
contraire, par rapport au meridien origine des fuseaux horaires GMT (Greenwich Mean Time). 
Ainsi lors de la mise a Theure durant la programmation du microcontroleur 100 en usine, cette 
reference est prise pour I'horloge interne 104 du microcontroleur 100 des lecteurs LCL. 
25 Apres programmation, le systeme de microfusibles est detruit ce qui empeche defmitivement 

une nouvelle programmation du microcontroleur 100, il n*y a plus alors d'acces directs a Tinterieur 
du microcontroleur 100, car tous les controleurs et interfaces sont totalcment sous le controle du 
processeur maitre CPUl (selon la construction du microcontroleur 100). Le systeme d'exploitation 
du microcontroleur 100 ainsi programme est automatiquement charge par le processeur maitre 
30 CPUl a chaque demarrage d'un lecteur LCL. 

Ainsi I'integralite des informations qui sont stockees dans la memoire interne du 
microcontroleur 100 sont securisees contre toutes tentatives de controle electronique exteme au 
microcontroleur 100. Compte tenu des propri^es physiques d'une pastille de silicium, de sa taille 
et de son boitier, il offre dans Tetat actuel de Tart une tres bonne protection physique et logique 
35 contre toutes tentatives d' intrusions non autoris6es dans les circuits intemes du microcontroleur 
100. Selon des modes particuliers de reaUsation, des techniques de protection supplementaires 
peuvent toutefois ^tre ajoutees autour du microcontroleur 100. Une des techniques possibles 
conceme Tutihsation d'un dispositif electrique exteme de protection de circuits integr^s, present6 
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dans le brevet de la soci6t6 IBM en 1990 (U.S. Patent 5,1 17,457). 

Le syst^me ^lectronique esclave 120 sert a executer des programmes venant de Text^rieur du 
microcontrdleur, c'est k dire n'appartenant pas au systeme d*exploitation qui a dte charg6 dans la 
memoire FLASH 111 lors de la programmation du microcontroleur 100. II permet d'executer des 
5 programmes k Tabri des attaques de virus informatiques eventuels. La security est complete par 
rapport a ces attaques grace a une protection physique caracterisee par une separation logique 
d'une meme pastille de silicium en deux parties 120 et 130 dont Tun 120 est esclave de Tautre 130. 

Selon la realisation de la presente invention, la zone memoire DRAM 109 est strictement 
reservee a I'execution du systeme d' exploitation du microcontrdleur 100 qui a 6te charge en usine, 

10 lors de la procedure de programmation du microcontrdleur 100. II sert aussi de memoire tampon 
pour transferer les programmes et/ou donnees venant de Texterieur du microcontroleur vers la 
memoire DRAM 1 10 via Tinterface 106 controlte uniquement par le processeur maitre CPUl. Les 
programmes venant de Texterieur sent executer a partir de la memoire DRAM 110, par le 
processeur esclave CPU2 controle par le processeur maitre CPUl via le controleur 113. 

15 Selon la realisation de la presente invention, par rapport I'utilisations des lecteurs LCL avec 

differents types d*ordinateur et de systemes d'exploitations, et compte tenu de Tecriture des 
fonctions Fo precedemment decrites, le CPU2 est un processeur Java (PicoJava) de la societe Sun 
Microsystems. Cette caracteristique rend le d6veloppement des fonctions {Fq, Fi,...,Fi, ...F„} 
independant des ressources de calculs de Tordinateur qui execute un logiciel protege selon la 

20 presente invention, et des ressources internes du LCL. De plus, le concepteur de logiciels proteges 
- : par la presente invention, peut tester le fonctionnement des fonctions {Fo, F,,...J^i, ...Fn} 
independamment du lecteur LCL avec un programme simulant une machine virtuelle JAVA. 

Selon la realisation de la presente invention, CPUl est un processeur du type 80386SX. II peut 
done utiliser directement via son bus interne 101 une grande quantite de memoires internes et/ou 

25 extemes. Sa capacity de calculs permet d'envisager une forte capacite de traitements 
d' informations en multitache. 

Selon des modes particuliers de realisation, le microcontroleur peut ne pas utiliser de 
processeurs JAVA, mais un processeur du type 80386SX dont le systeme d'exploitation serait la 
machine virtuelle JAVA de la societe Sun Microsystems que le CPUl chargerait a chaque nouvelle 

30 execution de programmes dans la DRAM 110 afin d'eviter d'eventuelles attaques de virus 
informatiques. 

De plus, selon la realisation de la pr6sente invention, la totality des informations eventuelles 
de la memoire DRAM 1 10 est eflfacee par CPUl avant chaque nouveau chargement de programmes 
qui doivent etre executes par CPU2. CPUl met en pause CPU2 par Tinterm^diaire du controleur de 
35 CPU2 1 13, et efface, par exemple par une desactivation momentanee des circuits qui composent le 
module de memoires DRAM 1 10, le contenu de cette memoire DRAM 1 10 grace a Tinterface 106. 
Ensuite, CPUl charge les parametres d'execution et le nouveau programme a executer dans la 
DRAM 110 directement grace au controleur DMA 107. Ce chargement direct permet de ne pas 
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utiliser CPU2 et de permettre au CPUl de controler completement la DRAM 110. Ainsi, apres 
chargement du programme, CPUl dome alors la main 4 CPU2 par rinterm^diaire du controleur de 
CPU2 113. CPU2 exdcute alors le nouveau programme. Ainsi compte tenu de toutes ces mesures, 
si ce programme est un virus informatique volontairement inscrit dans ime des fonctions de type Fj, 

5 il ne pourra toutefois porter aucunes atteintes au fonctionnement du microcontroleur 100, ni 
recopier vers Texterieur des donn&s non effacees concemants les anciennes fonctions qui ont et6 
executfes par CPU2 dans la memoire DRAM 1 10. De plus, CPUl conserve le controle des accfes 
aux donnees contenues sa partie 130. Cette procedure de chargement de programme et/ou de 
donnees dans la DRAM 110, est rep6tee pour chaque programme qui doit etre execute par le 

1 0 processeur esclave CPU2. 

Selon la realisation de la presente invention, 1' architecture presentte par la figure 3, pennet 
d'empecher un programme n'appartenant pas au systeme d'exploitation du microcontroleur 100 
d'effectuer des lectures et/ou modification dans la memoire interne du systeme 130 integre dans le 
microcontroleur 100. II pennet aussi d'empecher ces programmes de controler les interfaces et/ou 

15 controleurs du microcontroleur 100, et done d'empecher des pirates de lire le contenu des 
memoires securisees physiquement et logiquement du systeme 130, integrees dans le 
microcontroleur 100. 

De plus, selon la presente invention, I'interface bus exteme 105 permet au microcontroleur 
100 de controler des peripheriques extemes relies au bus exteme 1 14. Ce bus permet d'ajouter au 
20 LCL des peripheriques d'enregistrement comme par exemple un media d^enregistrement du type 
Flash Disk (memoire FLASH utilise un disque standard), un peripherique de communication 
reseau. 

L'architecture du microcontroleur 100 permet une grande modularity de fonctionnement. 
Selon la realisation de la presente invention, on connecte sur ce bus 114 un peripherique d'acces 
25 reseau Ethernet pour une communication en protocole TPC/IP. Selon le type de communication 
utilise entre un lecteur LCL et un ordinateur donne, on pourra connecter sur ce bus un peripherique 
ad6quat a cette communication. Ainsi, on pent ajouter un peripherique radio recepteur 22, pour 
utiliser un lecteur LCL dans le contexte 20 de la figure 1. L^usage de ce r6cepteur sera defini par la 
suite. 

30 Selon la realisation de la presente invention, compte tenu du controleur PCMCIA 154 integre 

dans le microcontroleur 100, les periphdriques utilises peuvent etre aussi des cartes PCMCIA 
utilisee par le microcontroleur 100 pour toutes operations relatives k la presente invention. Ces 
cartes PCMCIA peuvent etre des cartes Ethernet PCMCIA, des cartes FLASH PCMCIA, un disque 
dur PCMCIA, une carte module de r&eptions numeriques hertziennes PCMCIA. Ces diff^rentes 

35 cartes ne sont pas illustrees. L'usage du controleur PCMCL\ pennet d'ajouter a un lecteur LCL 
donne des peripheriques plus facilement par rapport au bus exteme 114. Le port USB 150 sert a 
une connexion a grande vitesse de transmission et de receptions entre un ordinateur, et un lecteur 
LCL doxme. II s'agit des contextes 30 et 20. 
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Le port d'E/S 151 permet selon la realisation de la pr&ente invention, de conimuniquer avec 
une carte CL. 

En reference a la figure 5, la carte 61ectronique CL 60 est construite autour d'un 
microcontroleur 400 integrant sur une meme pastille de silicium un processeur CPU 405 relie par 
5 un bus interne 406 a un module de memoires Flash 401, un module de memoires OTP EPROM 
407, un module de memoires DRAM 404, un Port S6rie E/S RS232 403, un controleur de 
CompactFlash 402 de la socifte SanDisk. 

Selon une variante non illustr^e, le microcontroleur int^gre sur une meme surface de pastille 
de silicium un coprocesseur de cryptage DES pour permettre au CPU d*effectuer des operations de 
1 0 cryptage plus rapidement. 

Selon la realisation de la presente invention, les acces en lecture dans le module de memoires 
OTPEPROM directement de I'exterieur du microcontroleur 400 sont supprimes, afin de laisser tous 
les accds aux circuits internes du microcontroleur 400 sous le controle unique du processeur CPU 
405. La presente invention ne requiert pas Tutilisation d*une grande puissance de calcui au niveau 
1 5 du processeur CPU 405 Integra dans le microcontroleur 400. 

Ce microcontroleur 400 comporte un moyen de securiser la lecture et/ou la modification 
illicite des informations qui sont contenues dans sa memoire interne. Une methode de securisation 
des acces en memoires est propos^e dans le brevet U.S. Pat. 5,293,424 date du 8 mars 1994. 

Selon la presente invention, la memoire OTP EPROM interne 407 sert a stocker des cles de 
20 ■ cryptage, des numeros de serie d*identification, des dates, le systeme d'exploitation du 
' - microcontroleur 400 realisant directement et/ou indirectement des fonctions relatives a son 
utilisation selon la presente invention. 

Selon la realisation de la presente invention, la memoire FLASH interne 401 sert a stocker de 
maniere permanente des donnees supplementaires apres la sortie d'usine de la carte CL. Elle sert 
25 aussi a stocker des programmes supplementaires qui permettent au microcontroleur 400 de realiser 
directement et/ou indirectement des fonctions supplementaires relatives a son utilisation selon la 
presente invention apres la sortie d'usine de la carte CL. 

Selon la realisation de la presente invention, et de maniere generale, la carte CL est alimentee 
electriquement par LCL lorsqu'elle est connectee a LCL. Cette liaison electrique n'est pas illustree. 
30 Selon la presente invention, le microcontroleur 400 est protege contre toute modification des 

informations quMl contient. II s'agit d'un microcontroleur similaire a ceux des cartes a puces. II est 
relie a un coimecteur femelle 63 qui permet de communiquer par contact avec un lecteur LCL 
donne. 

Selon la presente invention, la carte CL est un appareil portatif de petite taille poss6dant une 
35 unite de stockage amovible de forte capacite. 

Selon la realisation de la presente invention, le microcontroleur 400 est rehe a la sortie de son 
controleur de CompactFlash a un support de connexion 64 pour modules de memoires de type 
CompactFlash. 
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Selon des modes particuliers de realisation, le controleur de CompactFlash peut ne pas etre 
integre sur la meme pastille de silicium que le microcontroleur 400. U peut aussi utiliser un autre 
media d'enregistremcnt telle que des modules DiskOnChip de la societe M-Systems ou tout autre 
systeme propri^taire et amovible de memoires non volatiles. 
5 Dans I'dtat actuel de Tart, des microcontroleurs possedant les caractdristiques du 

microcontrdleur 400 sont tres nombreux. Selon la realisation de la presente invention, un 
microcontroleur 32 bits RISC presentant les caract^ristiques du microcontroleur 400 k etc integre 
sur une meme pastille de silicium avec le controleur de carte CompactFlash. Cette integration 
utilise les technologies d' integrations ASIC (AppHcation Specific Integrated Circuit). 
10 Ainsi, I'integralite des informations qui sont stockees dans la memoire interne du 

microcontroleur 400 est securisee contre toutes tentatives de controles electroniques extemes. 

Selon la presente invention, la carte CL est un appareil portatif de petite taille. II permet de 
transporter les infonnations concemant I'utiHsation de logiciels proteges, ind6pendamment du 
lecteur ^lectronique LCL. EUe est utilisee comme une cle d'acces a I'utilisation de logiciels 
15 proteges selon la presente invention. Sa portabilite permet a un utilisateur d*utiliser les logiciels 
dont il a achete les droits d'utilisation (licences) sur tout ordinateur qui possederait ces logiciels. 

Selon la realisation de la presente invention, le fomiat geometrique de CL est compris entre 
celui de la carte CompactFlash est celui d'une carte PCMCIA. 

En reference a la figure 6, un trou 62 a ete place dans un coin du boitier 60 repr6sentant CL. 
20 Ainsi, la carte CL peut etre attachee a un porte-cl6s mecanique. Selon la realisation de la pr6sente 
invention, le numero de serie ID.c non illustre d^une carte CL donnee est imprime sur le boitier 60 
de CL. 

De plus, selon la presente invention, en reference a la figure 7, le module de memoires 
CompactFlash 61 est detachable du boitier 60 via le systeme de support de connexion 64 pour carte 
25 CompactFlash, 

En reference a la figure 8 et selon la realisation de la presente invention, la carte CL se 
connecte par contact avec un lecteur LCL via un jeu de deux connecteurs male femelle. Une carte 
CL possede un connecteur femelle 63 quMl connecte sur le coraiecteur 210 male correspondant du 
lecteur LCL, Ces jeux de connecteurs permettent une communication serie RS232 entre LCL et CL 
30 par contact. De plus, il permet d'apporter de Tenergie electrique aux circuits electroniques de la 
carte CL. Selon la realisation de la presente invention, le lecteur LCL est alimente sur secteur. 

Selon des modes particuliers de realisation non illustres, CL peut avoir sa propre alimentation 
electrique pour permettre un fonctionnement autonome. Selon ces modes particuliers de realisation, 
on peut integrer dans CL un module de communication hertzienne ou infirarouge pour permettre des 
35 communications sans contacts avec LCL. Un exemple d'un tel dispositif est apporte par Hough 
dans U.S. Pat. No. 5,412,253. Bien sure, le lecteur LCL possede dans ces conditions les ports de 
contununications adequats. 

Selon la realisation de la presente invention, toutes les cles de codages ecrites en usine lors de 
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la programmation des appareils de type LCL et CL sont des cl6s de 128 bits difinics par rapport a 
ralgorithme DES. Ainsi, compte tenu de la pr^sente description de I'invention, un module de 
m^moires OTP EPROM de 256 kilooctets, un module de memoircs Flash de 64 kilooctets, un 
module de memoire DRAM de 512 kilooctets ont ite int^gri avec le CPU 405 (processeur RISC), 
le Port Serie E/S RS232 403 et le controleur de carte CompactFlash sur une meme pastille de 
silicium. Bien entendu, d*autres tallies plus grandes de memoires peuvent etre utilisees en fonction 
des disponibilitds des macros d'int^gration ASIC et de leur cout. Ces quantit6s sont donndes par 
rapport a la presente realisation. 

Par ailleurs, selon la. realisation de la pr&ente invention, la taille retenue pour le module de 
memoire Flash 1 11, est de 1 m^gaoctets. La taille retenue pour le module de memoire DRAM 109, 
est de 2 megaoctets. La taille retenue pour le module de mdmoire DRAM 1 10 est de 1 megaoctet. 
Ces quantites sont donn^es par rapport a la presente realisation. 

L*ensemble des programmes relatifs aux fonctionnalites du lecteur LCL constitue le syst^me 
d'exploitation interne du microcontroleur 100. Ce systeme d'exploitation est enregistre dans la 
memoire Flash 1 1 1 du microcontroleur 100 lors de sa programmation en usine. 

L'ensemble des programmes relatifs aux fonctionnalites de la carte CL constitue le systeme 
d*exploitation interne du microcontroleur 400. Ce systeme d'exploitation est enregistr6 dans la 
memoire OTP EPROM 407 du microcontroleur 400 lors de sa progranmiation en usine. 

Selon la presente invention, les communications entre LCL et CL sont securisees. La presente 
invention conceme Tutilisation d'une m^thode d*authentification permettant h un groupe 
d'appareils quelconques de se reconnaitre a Taide de cette methode. Cette authentification permet 
que seuls les appareils relatifs a la presente invention, certifies par Torganisme qui gere le serveur 
aSVR, puissent fonctionner ensemble. Cette methode selon la presente invention, permet 
d'empecher que des appareils non reconnus par Torganisme qui gere les appareils relatifs ^ la 
presente invention, ne puissent fonctionner avec ceux reconnus. Cette methode empeche ainsi des 
appareils pirates d'effectuer des lectures de donnees dans les memoires electroniques securis6es des 
appareils relatifs a la presente invention. 

La presente invention conceme des appareils qui ne peuvent etre utilises que pendant une 
duree determiner dans le temps. Pour la realisation, les appareils LCL et CL sont tous caracterises 
par une date DB de mise en service et une date DE qui indique que Tutilisation de ces appareils 
relatifs a la presente invention, expire fin DE. DB et DE constitue une information publique non 
modifiable. 

Ainsi, selon la realisation de la presente invention, la date DB du lecteur LCL, notee DB.d, est 
ecrite lors de la programmation en usine du microcontroleur 100, dans une zone libre de la 
memoire Flash 111. De plus, la date DE d'un lecteur LCL, notee DE.d, est ecrite lors de la 
programmation en usine du microcontroleur 100, dans une zone libre de la memoire Flash 111. 

De plus, selon la realisation de la presente invention, la date DB de CL, notee DB.c, est ecrite 
lors de la programmation en usine du microcontroleur 400, dans une zone libre de la memoire 
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Flash 401. De plus, la date DE d'une carte CL, not6e DE.c, est 6crite lors de la programmation en 
usine du microcontrdleur 400, dans une zone libre de la memoire OTPEPROM 407. 

Ainsi, selon la realisation de la prescnte invention, Torganisme qui gere aSVR genere pour 
chaque semaine du calendrier international qui commence le lundi et qui se termine fin dimanche 
une cl6 kLi. La cle kLl est la premiere cle qui a ete generee pour la premiere semaine ou les 
premiers appareils relatifs a la presente invention, ont ete mise en service. La cle kLi indique la cle 
de la semaine i par rapport a cette premiere semaine. Toutes ces cl&s sont entierement creees et 
gardees secretement par Torganisme qui gere le serveur aSVR afm de garantir la securite 
d'utilisation des appareils relatifs a la presente invention. 

Selon la realisation de la presente invention, pour une carte CL consideree, lors de la 
procedure de programmation de son microcontroleur 400, la cle secrete de codage kLj est ^crite 
dans une zone libre de la memoire OTPEPROM 407. Cette cl6 secrete kLj correspond a la semaine 
j par rapport a la premiere semaine oil les premiers appareils relatifs a la presente invention, ont ete 
mise en service. La cle kLj a ete choisie de telle sorte que la semaine j contient la date DB de la 
mise en service de cette carte CL. Cette cle secrete ne sera jamais revelee a I'utilisateur, Par 
ailleurs, elle est connue uniquement par Torganisme qui gere le serveur aSVR. 

De plus, selon la realisation de la presente invention, pour un lecteur LCL considere, lors de la 
procedure de programmation de son microcontroleur 100, la liste de cles secretes de codage 
{kLKi,kLi^-2,kLi.3,...,kLi+n,} correspondant a toutes les cles associees aux semaines comprises entre 
la date DB.d diminuee de 1460 jours et la date DE.d, sont stockees dans la memoire Flash 1 1 1 du 
microcontrdleur 100. Bien entendu, leurs adresses memoires suivent une convention adoptte pour 
permettre de les retrouver dans la memoire 111. Ces cles secretes sont par ailleurs connues 
uniquement par Torganisme qui gere le serveur aSVR. Toutes ces cles secretes qui viennent d'etre 
citees, sont generees par rapport a Talgorithme de cryptage DES. Chacune de ces cles secretes a 
une taillede 128 bits. 

Selon la realisation de la presente invention, la duree qui separe une date de mise en service 
DB et une date de fin d'utilisation DE des appareils relatifs a la presente invention, est de 1461 
jours (4 ans). Ainsi {kLi.„kLi.2,kLw>..MkLi.^} n'occupe pas plus de 7 000 octets (approximation 
volontairement excessive) dans la memoire Flash du microcontroleur 100 d'un LCL donnee. La 
figure 4 permet de comprendre le choix du nombre de cles dans la liste {kLi+i,kLi+2,kLi+3,.-,kLi+ni}- 
Ce nombre est du a Texistence des appareils les plus anciens, encore en service a la date DB.d de 
mise en service du LCL considere. Compte tenu de la capacite des memoires Flash integr6es au 
sein d'un microcontroleur 100, la totality des cles {kLi+,,kLi^.2,kLi+3,...,kLi+m} peut done etre 
stockee avec le systeme d' exploitation microcontroleur 100. 
; Ainsi, la realisation de ladite procedure d'authentification est basee sur Tutilisation judicieuse 

de toutes ces cles. Le nombre de cles employees permet a ce que si une cle venait k etre cassee, le 
fonctionnement lie a Tauthentification par rapport a cette cle, ne mette pas en echec I'ensemble du 
systeme relatif a la presente invention. 
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En reference k la figure 10, pour Tutilisation de LCL, dans un premier temps, un lecteur LCL 
ne peut fonctionner que si la date courante indiqu6e par Thorloge temps reel interne 104 du 
microcontroleur 100 de LCL est comprise entre les dates DB.d et DE.d du meme LCL. Autrement 
la suite ne peut aboutir 551 . Cette condition est illustree sur la figure 10 par T^lement 501 
5 Dans un deuxi^me temps, en reference i I'^tape 502, pour mettre en fonctionnement un 

lecteur LCL, Tutilisateur doit effectuer une operation d'identification detaillee par la suite. 

Dans un troisieme temps, pour mettre en fonctionnement une carte CL, I'utilisateur doit 
connecter d'abord sa carte CL (etape 503) sur le support de type male de connexion 210 possede 
par le lecteur LCL, pour permettre une conmiunication par contact entre le lecteur LCL et la carte 
10 CL. Le support de type male 210 du lecteur LCL est relie au port E/S RS232 151 du 
microcontroleur 100. La carte CL possede done un connecteur femelle 63 relie au port E/S RS232 
403 de son microcontroleur 400. L'utilisateur doit effectuer ensuite une operation d'identification 
decrite par la suite. 

Selon la realisation de la pr6sente invention, dans un quatri^e temps 504, le microcontroleur 
15 400 de la carte CL envoie sous une forme non codec sa date de mise en service DB.c au 
microcontroleur du LCL via ladite liaison RS232. Si un pirate modifier la valeur DB.c transmise, la 
r suite de la presente description ne pourra aboutir avec succes, 

De Tautre cote et apres reception de DB.c, dans un cinquieme temps 505, le processeur CPUl 
du microcontroleur 100 de LCL effectue une correspondance entre DB.c et une cle secrete not^e 
20- kLj.d elements de la liste {kLi+,,kLi+2,kLH-3,...,kLi+n,} de telle sorte que la semaine j associee a 
kLj.d selon la presente invention contienne DB.c. 

Dans un sixieme temps 506, le processeur CPUl genere une cle kCS de 128 bits par rapport 
au cryptage DES, a Taide de son generateur de nombres aleatoires 112. kCS est conservees 
secr^tement dans la memoire interne DRAM 109 du microcontroleur 100. 
25 Selon la presente invention, kCS est codec ensuite par kLj.d puis envoyee sous sa forme 

codec, notee ekCS, vers le microcontroleur de CL. 

Dans un septieme temps 507, a reception de ekCS, la carte CL tente de decoder ekCS avecsa 
cle secrete kLj. Selon la presente invention, si le decodage reussit, ladite procedure 
d'authentification a reussi. Le microcontroleur de CL utilisera alors la cle kCS pour envoyee des 
30 informations codecs vers LCL, et pour decodee des informations venant par la suite de LCL. Le 
microcontroleur 400 de la carte CL stocke dans sa memoire interne securisee DRAM 404 cette cle 
secrete kCS. 

Ainsi, selon la realisation de la presente invention, dans un huitieme temps 508, le 
microcontroleur de CL envoie ensuite la date d'expiration DE.c associee a CL sous une forme 
35 codec par la M kCS vers le microcontroleur du lecteur LCL. 

A reception, dans un neuvieme temps 509, CPUl verifie si DE.c n'est pas depasse par rapport 
a la date courante donnee par I'horloge interne du microcontroleur 100 de LCL. Si cette date est 
depassee, LCL refusera de poursuivre la communication avec la carte CL 552. Sinon. une 
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communication securisee entre LCL et CL peut avoir lieu 559. 

Ainsi, chaque session de communication entre LCL et CL qui commence par leur connexion 

par contact et qui se termine lorsque Tune des conditions suivantes est remplie : CL est d6connecte 

de LCL, la date courante indiquee par I'horloge 104 a d6passe la date DEx, la date courante 
5 indiquee par I'horloge 104 a depass6 la date DE.d. La deconnexion de la carte CL du lecteur LCL 

est marqu6e par Tabsence de charge a la sortie de Talimentation electrique utilisee pour alimenter 

les circuits electroniques de la carte CL. 

De plus, selon la pr^sente invention, toutes les communications entre le lecteur LCL et la carte 

CL sont securis6es par Tutilisation d'une m^thode de cryptage symetrique utilisant une cle secrete, 
10 noteekCS. 

Selon la realisation de la presente invention, Tutilisateur qui desire faire fonctionner un 
appareil relatif a la presente invention, doit saisir sur le clavier de son lecteur LCL controle par le 
microcontroleur 100 par Tintermediaire du controleur de claviers et ecrans LCD 155, un code PIN. 
Au moment de sa saisie, les chiffres tapes seront inscrits sur Tecran LCD non illustre et controle 

15 par le controleur 155. Ce code lui a ete foumi lors de la premiere acquisition (F achat) de I'appareil 
en question. Le code PIN est un code numerique de 5 chiffres associe a chaque appareil. II doit etre 
conserve secretement par le proprietaire de I'appareil correspondant. L'utilisation d'un tel code est 
similaire a celui utilise avec des methodes d'identification presente dans le monde des cartes a 
puces (SmartCard) dans Tetat actuel de Tart. Les etapes qui permettent de v^ifier la saisie correcte 

20 du code PIN associe a chaque appareil selon la presente invention, sont evidente et ne sont pas 
detaillee dans la presente description de Tinvention. II faut toutefois ajouter que le code PIN d'une 
carte CL est saisi sur le clavier du LCL, puis transmis sous sa forme non codec, vers le 
microcontroleur 400 de la carte CL, via la haison serie RS232 presente entre une carte CL donnee 
et un lecteur LCL donnee. II est done sous-entendu, sauf mention contraire, dans un fonctionnent 

25 correct d'un appareil relatif a la presente invention, que la saisie du code PIN a ct€ menee avec 
succes. 

La presente invention conceme Tutilisation d'une carte CL comme media d'enregistrement 
portatif, securisd contenant des fichiers d'autorisation d'utilisation de tous les logiciels proteges 
selon la presente invention, et acquis legalement par I'utilisateur et separement de I'acquisition du 

30 logiciel (le media d'enregistrement). Ces fichiers ont ete enregistres dans la carte CL en suivant une 
procedure d' acquisition de logiciels decrite par la suite. 

Selon la realisation de la presente invention, un fichier d'autorisations d'utilisation d'un 
logiciel donne ayant le numero de serie S#, not6 Fich.S#, est ddfmi comme un fichier binaire dont 
les bits de donnees sont ordonnes de la fa^on suivante : S# du logiciel (128 bits), ID.c (128 bits), 

35 nombre de licences (L#.S# : 16 bits), demiere utilisation (DR.S# : Jour 5 bits, mois 4 bits, annee 12 
bits, heure 5 bits, minutes 6 bits, secondes 6 bits), premiere utilisation (DP.S# : date et heure 38 
bits), duree d*utiUsation courant (DU.S# en minutes : 24 bits), nombre d'executions du logiciel (28 
bits), donnees diverses (Misc :1024 bits), cle kEL.S (128 bits), cle kX.S# (128 bits). Le total est de 
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1680 bits, soit un fichier de 210 octets. 

Selon la realisation de la presente invention, une carte de type CompactFlash 61 distribuee par 
la soci^te SanDisk d*une capacite de stockage de 4 m^gaoctets est ins6rie comme indique sur la 
figure 7 sur im support de connexion 64 adapts et present sur la carte CL, pour permettre la 
5 connexion de cette carte CompactFlash vers le controleur de cartes CompactFlash 402 du 
microcontroleur 400. Les cartes CompactFlash sont compatibles avec le standard ATA des cartes 
PCMCIA dans T^tat actuel de Tart. Ces modules de m6moires CompactFlash sont utilises comme 
des disques de stockage d' informations. Les instructions necessaires concemant Tecriture du driver 
qui permet au microcontroleur 400 d'utiliser le module CompactFlash de 4 megaoctets sont donnde 

10 par le standard ATA. Ce driver non illustre, permet selon la realisation de la presente invention, au 
microcontroleur d'effectuer les operations suivantes sur la carte CompactFlash : lectures de 
fichiers, modifications de fichiers, creations de fichiers. 

Ainsi, selon la realisation de la presente invention, la carte CL permet de stocker plus de 
10000 fichiers d'autorisations d*utilisation de logiciels proteges selon la presente invention. Ce 

15 nombre est largement suffisant pour tous les logiciels proteges par la presente invention, qu*un 
utilisateur peut acquerir legalement. Toutefois, I'utilisateur pourra changer de cartes CompactFlash 
pour une plus grande capacite de stockage. Compte tenu de la norme ATA, ce changement ne 
>: necessite ni de mise a jour des progranmies systeme du microcontroleur 400, ni de changement du 
boitier 60 et du support pour carte CompactFlash 64. 

20: Selon la presente invention, les informations stockees sur la carte CL, concemant les 

s:.. autorisations d'utilisation de logiciels proteges selon la presente invention, ne dependent pas du 
media d*enregistrement mais de Tentite carte electronique CL. Ainsi, un utilisateur d'une carte CL 
pourra utiliser plusieurs cartes CompactFlash pour stocker des fichiers de type Fich.SC Les 
donnees qui sont stockees sur une premiere carte CompactFlash associee a une carte CL donn6e 

25 peuvent etre transferees vers une deuxieme carte CompactFlash. Cette operation est effectuee a 
I'aide du programme PGM precedemment cite. 

Selon la presente invention, les fichiers d'autorisations Fich.S# sont stockds sous une forme 
codec, notees eFich.S#, avec une cle secrete kS.c de 128 bits par rapport a la technique de cryptage 
DES, dans la carte CompactFlash utilisee comme un disque de stockage. La cle secrete kS.c a 6t€ 

30 inscrite dans la memoire OTPEPROM 407 lors de la programmation en usine du microcontroleur 
400. 

Ainsi, eFich.S# ne pourra etre utilise que par la carte CL qui Fa cree, car la cle secrete kS.c est 
differente pour chaque carte CL mise en service. 

De plus, la presente invention conceme une methode qui permet de separer Tacquisition du 
35 media d*enregistrement contenant un ou des logiciel(s) protege(s) par la presente invention, du 
droit d*utilisation de ce ou ces logiciel(s). 

Selon la realisation de la presente invention, les medias d*enregistrement de logiciels proteges 
selon la presente invention, sont librement distribues. Cependant, un logiciel protege selon la 
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presente invention, nc peut etre execute uniquement qu^apres une operation d'acquisition legale 
d'un fichier Fich.S# d'autorisation d'utilisation de ce logiciel num6rot6 S#. Ainsi, en reference k la 
figure 2, lorsqu'un utilisateur desire obtenir une ou des ticences d'utilisation, il doit connecter tout 
d'abord son lecteur LCL avec le serveur aSVR, a I'aide du programme PGM. Selon la realisation 
5 de la presente invention, cette connexion est itablie via le reseau Internet. 

Pour commencer a acquerir une autorisation (une ou des licence(s)) d'utilisations d'un logiciel 
numerote S# et proteges selon la presente invention, Tutilisateur commence par connecter sa carte 
CL sur ledit lecteur LCL donnd. L'utilisateur doit maintenir sa carte CL connectee au moins 
jusqu'a la fin de la presente procedure d'achat en ligne (avec connexion). On suppose que 
10 Tutilisateur veut acqu6rir NL nombre(s) de licences d'utilisation de ce logiciel numerote S#. II 
saisit ensuite le code PIN de sa carte CL sur le clavier dudit lecteur LCL. L'operation 
d'authentification precedemment citee doit aboutir avec succes pour continuer. 

Ainsi, en reference a la figure 11, selon la realisation de la prdsente invention, au debut de la 
connexion avec aSVR, ledit lecteur LCL communique a aSVR son numero ID.d (etape 601). Dans 
1 5 ce contexte de communication, aSVR est le systeme distant represents sur la figure 2. Bien sure, les 
operations commerciales qui sous-entend que aSVR accepte une communication avec ledit lecteur 
LCL sent sous-entendues. Le programme PGM envoie ensuite vers aSVR le numero de serie S# 
dudit logiciel, saisie par I'utilisateur (acheteur), et le nombre NL. Ces deux informations sont 
envoyees sous une forme codec par la cle secrete kT.d du lecteur LCL de I'utilisateur. 
20 De plus, la realisation de la presente invention considere que le concepteur dudit logiciel au 

numero de serie S# dispose lui aussi d'un serveur note dSVR, non illustrS et relie par le reseau 
Internet a aSVR. Le serveur dSVR est connecte de son cote avec le lecteur LCL dudit concepteur. 
Bien entendu, cela suppose que le systeme d'exploitation d'un lecteur LCL soit programme de telle 
sorte qu'il puisse rSpondre a certaine requete relative a la presente procedure d'achat du serveur 
25 dSVR. Ainsi (etape 602), dSVR communique ensuite a aSVR le numero ID.d de son lecteur LCL 
qui a servi k creer le logiciel S# protege selon la pr&ente invention. La communication entre dSVR 
et le lecteur LCL se passe comme sur la figure 2 ou I'ordinateur 50 est represente ici par le serveur 
dSVR. 

Pour permettre une communication sur deux niveaux, le lecteur LCL de I'utilisateur 
30 communique a aSVR (etape 603) sous une forme codec une cle publique, notee kP. La cle kP est 
codec avec la cle secrete kT,d du LCL de I'utilisateur. kP est une cle publique, relative a la 
technique de cryptage RSA (Rivest, Shamir et Adleman). La cle kP est creee avec sa cle privee kV 
pour Toccasion (dynamiquement) et effacee a la fin de cette procedure d'acquisition de licences. 
La forme codee par ladite cle kT.d de kP est notee ekP.kT. De plus, il faut noter que aSVR ne 
35 connait pas la valeur de la cl6 privee kV associ6e k kP. Le codage systematique des informations 
lors de la communication evite d'eventuelles modifications des dormees echangees lors de leur 
transfert. 

A reception, aSVR decode ekP.kT a I'aide des informations qu'il poss^de concemant le 
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lecteur LCL de Tutilisateur. Selon la realisation de la presente invention, aSVR est seul en dehors 
de ce lecteur LCL, a connaitre la correspondance du numero ID.d avec la cl€ kT.d par rapport k un 
lecteur LCL donn^. La cl€ kP est ensuite cod6e avec la cle secrete kT.d relative au lecteur LCL du 
concepteur du logiciel S# proteg6 selon la pr6sente invention. La nouvelle forme codee de kP est 
5 notee ekP.kT2. Ensuite, aSVR communique ekP.kT2 604 au lecteur LCL du concepteur via le 
serveur dSVR. De cette mani^re, Tutilisation des techniques de protection de logiciels selon la 
presente invention, cree une dependance entre le concepteur de logiciels proteg6s selon la pr&ente 
invention, et Torganisme qui gfere aSVR. Ainsi, Le concepteur de logiciel n'a pas a constituer des 
stocks autre qu'un stock de madias d'enregistrement contenant le logiciel proteg^ selon la presente 
10 invention. 

A reception, le lecteur LCL dudit concepteur decode ekP.kT2 avec sa cl6 kT.d. Avec la cle 
public kP, LCL relatif au concepteur code ensuite kEL.S# gener6 lors de la procedure de creation 
du logiciel S# protege selon la presente invention avec la cle kP. La forme codec de kEL.S# par kP 
est not^e ekEL. Selon des variantes non illustrees, apres avoir decode ekP.kT2, ledit peut 

1 5 communiquer kP au serveur dSVR afin de lui laisser le codage de la cle kEL.S# par la cle kP. Mais 
ces variantes ne changent en rien quant au principe fondamentale de la presente invention. 

Selon la realisation de la presente invention, dSVR re9oit ensuite de aSVR la valeur de NL. 
NL permet au concepteur de logiciels proteges selon la presente invention, d'effectuer une 
comptabilite avec Torganisme qui gere aSVR. Selon une variante de la presente procedure 

20 d'acquisition d'autorisation d'utilisations, dSVR envoie apres reception de la cle kP, une cle pubhc 
kPUB relatif au cryptage RSA vers le LCL de Tutilisateur (acheteur) via aSVR. Cette variante 
permet au programme PGM connecte avec le lecteur LCL de Tutilisateur, de retoumer a dSVR par 
rintermediaire de aSVR, la valeur codec avec kPUB de NL. Cette variante permet a ce que dSVR 
ne se fie pas a la bonne sincerite de aSVR. Ainsi, cette variante permet a dSVR de controler 

25 exactement le nombre de licences vendues. 

Selon la realisation de la presente invention, dSVR envoie ensuite (etape 605) ekEL a aSVR. 
Ce serveur aSVR envoie ensuite (etape 606) kX.S# sous une forme codec avec la cl6 kT.d (celiii du 
lecteur LCL de Putilisateur) vers le lecteur LCL de Tutilisateur. La cle kX.S# est une cle creee et 
stockee par aSVR lors de la procedure de protection precedemment decrite du logiciel LD 

30 numerote S#. Le serveur aSVR envoie ensuite vers le lecteur LCL de Tutilisateur, eKEL. A 
reception, le lecteur LCL de I'utilisateur decode eKEL par kV. II obtient done kEL.S#. Ce lecteur 
LCL decode aussi la forme codec de kX.S# par sa cle kT.d. 

Selon la realisation de la presente invention, ledit lecteur LCL envoie ensuite a ladite carte CL, 
sous une forme codee avec la cle kCS obtenue lors de la procedure d'authentification 

35 precedemment decrite, les donnees suivantes : S#, NL qui correspond au nombre de licences 
demandees par I'utilisateur a aSVR, kX.S#, kEL.S#, la date et I'heure courantes indiqudes par 
rhorloge 104. 

Ainsi, le microcontroleur 400 de la carte CL decode les differentes donnees re9ues avec kCS. 
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Le microcontr61eur 400 procfede alors k la procedure (6tape 607) de mise k jour qui suit. Le 
microcontroleur 400 verifie si un fichier code eFich.S# d'autorisation d'utilisation existe deja pour 
le logiciel en question num6rot6 S#. Dans ce cas, il procMe a sa modification en augmentant la 
valeur du champ L#.S# dans le fichier Fich.S# correspondant, de la valeur de NL. Dans le cas ou 
5 I'utilisateur aurait acquis une autorisation dependante du temps, bien entendu des mises a jour sur 
les champs correspondants sont effectutes dans le fichier Fich.S#. Pour la comprehension de la 
presente invention, certain point Evident sont sous-entendu, 

S'il n'existe pas de fichier Fich.S# correspondant, un nouveau fichier Fich.S# est cree. Ainsi, 
selon la realisation de la pr6sente invention, le microcontroleur 400 de la carte CL cree le fichier 
1 0 Fich.S# en rempUssant les champs suivants du nouveau fichier : S#, L#.S#, ID.c numero de s6rie de 
la carte CL en question, kEL.S#, kX,S#. Les valeurs de DR.S# et de DP.S# sont initialisees par la 
valeur de I'heure et de la date courante. Les champs DU.S# et « nombre d'executions du logiciel » 
prennent evidemment la valeur nulle. Le champ Misc sert a stocker des valeurs Hees k des besoins 
eventuels de definir des champs d'informations supplementaires. Misc est initialement a zero. 
1 5 L#.S# prend la valeur de NL. 

Selon des modes particuliers de realisation non dccrites, un utiHsateur peut directement se 
connecter sur le serveur dSVR pour acheter des licences lorsque aSVR a communique la valeur de 
kX.S# d'un logiciel numerote S# protege selon la presente invention. Cette variante permet de 
decentrahser la vente des licences. 
20 Compte tenu du format des fichiers Fich.S# et de sa forme codec eFich.S#, seul une carte CL 

donnee et numerot^e ID.c peut utiHser les fichiers Fich.S# correspondant a ID.c 

Selon la realisation de la presente invention, on considere un logiciel, note LD, ayant subi une 
procedure de protection selon la presente invention. Bien entendu, les explications qui suivent sont 
valables pour tout logiciel protege selon la presente invention. Pour permettre une explication, on 
25 considere son utilisation dans le cas ou Tordinateur bote est connecte a un lecteur LCL via un 
reseau de type Ethernet, en TCP/IP. C'est le cas du contexte 40. Le driver DRV precedemment 
citee permet de communiquer avec LCL par rapport au protocole TCP/IP. Selon la realisation de la 
presente invention, la couche TCP/IP est sous-entendu dans les propositions de communication 
entre le programme driver DRV et le lecteur LCL considere. 
30 Selon des modes particuliers de realisation non decrite, mais illustree par la figure 4, plusieurs 

LCL peuvent etre presents sur le reseau. Cependant, ces organisations ne change pas les 
caracteristiqucs de la presente invention. 

Selon la realisation de la pr6sente invention, a Tobtention d'une ou plusieurs autorisation(s) 
d'utilisation du logiciel LD (licences d'utiUsation), LD peut alors etre execute. 
35 Ainsi, au lancement du logiciel LD sur un ordinateur bote, la fonction FFo est ex6cutee en 

premier. De maniere gendrale, selon la reaUsation de la pr6sente invention, toutes les fonctions FFj 
effectuent toutes une procedure commune : le chargement de eFj vers LCL. 
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Selon la realisation de la pr^sente invention, lorsque le logiciel LD appelle une fonction 
donnee FFj, il lui transmet par passage de paramfetres en utilisant par exemple la pile du systeme de 
Tordinateur bote, des informations paramdtres, notees PARAM, utilisees directement et/ou 
indirectement lors de Fexecution eventuelle de la fonction Fi correspondant a FFj. Ensuite, FFj 
charge en memoire le contenu du fichier eFi dterit precedemment. Puis, FFj appelle (au sens d'un 
appel de programmes informatiques) le driver DRV afin de lui communiquer les informations 
PARAM et I'adresse mdmoire ou se trouve eFj. Ces informations sont ensuite envoyees vers LCL a 
travers le reseau consid^r^. Des paramitres supplementaires peuvent ^tre rajoutes par une fonction 
FFi dans les param^tres PARAM. Ainsi, PARAM contient notamment des informations relatives k 
rheure courante dans Tordinateur qui execute ladite fonction FFj. II contient aussi un identifiant 
unique representant cet ordinateur bote (par exemple Tadresse IP de cet ordinateur sur le reseau qui 
est foumie par le systeme d'exploitation de cet ordinateur) et le num^ro de serie S# du logiciel 
correspondant a ladite fonction FFj. Bien entendu, dans le cas d*un lecteur directement connect^ sur 
un ordinateur (c'est le contexte 30 et 20), il n'y a pas de probl^mes d'identifiants uniques. Ainsi, on 
note Tidentifiant unique de Tordinateur IDIP. Cette variable est utilise par le microcontroleur 100 
du lecteur LCL pour gerer Tutilisation des logiciels en fonctions des postes d'ordinateurs. Bien 
entendu, le choix d'une adresse IP pour les valeurs possibles de la variable EDIP ne conceme que la 
presente realisation. Dans d'autres modes de realisation, IDIP pourra etre defmie autrement. 

Ainsi, selon la realisation de la presente invention, lorsque le microcontroleur 100 du lecteur 
LCL aura termini le traitement des informations re9ues et en particulier Fexecution de la fonction 
Fj correspondante, les resultats obtenus sont alors transportes a nouveau vers ledit ordinateur bote a 
travers le reseau considere. A reception, DRV retoume les resultats a FFi qui les retoume au 
logiciel LD. Si la carte CL qui est connecte sur le lecteur LCL ne possede pas de licences 
d'utilisation pour le logiciel LD, alors LCL ne retoumera pas de resultats mais un message 
indiquant a FFi de fermer Texecution du logiciel LD. Une fermeture d'execution peut etre donnee a 
FFi dans d'autre situation decrite par la suite. Ainsi, I'execution des fonctions Fj par le lecteur LCL 
cree une dependance physique du logiciel LD avec LCL. 

Ainsi, selon la realisation de la presente invention, au debut du lancement du logiciel LD, la 
fonction FFo associe a LD est executee. Durant Fexecution de FFo associe audit logiciel LD aucune 
autre fonction de type FFi associee a LD ne doit etre executee. Des informations supplementaires 
seront donnees par la suite. FFo envoie eFo. Fheure courant indiquee par Fordinateur qui execute 
FFo, les parametres d'execution PARAM de la fonction Fq, la valeur S# associee au logiciel LD. 

A Farrivee des resultats calcules par le microcontroleur 100 de LCL, FFo considere deux types 
de resultats. Le premier type conceme les resultats lies a Fexecution de Fo (Fo doit etre une fonction 
compliquee de telle sorte que le logiciel LD en depend enormement) dans le microcontroleur 100. 
Dans la mesure ou ces resultats ne sont des messages d'erreurs, ces resultats sont retoumes au 
logiciel LD pour continuer Fexecution de LD. Le deuxieme type conceme une heure Htop par 
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rapport h Thorloge dudit ordinateur executant le logiciel LD. Cette indication de temps correspond 
au prochain moment ou FFodevra etre imperativement lanc6 par le logiciel LD. 

De plus, Tordre dans laquelle les autres fonctions FFi sont appelees, n'est pas previsible, car il 
depend de Tutilisation de LD. 
5 Selon la realisation de la pr6sente invention, I'execution de FFo est volontairement longue, de 

Tordre de 1 seconde. 

De plus, a Theure Htop, si FFo n'est pas executee, alors LCL considere que la session 
d*ex6cution associee audit logiciel LD qui doit lancer FF© est fermde. Cette condition permet a 
LCL de diminuer son compteur de licences utilisees sur le reseau par rapport k LD. 
10 Bien sure, le depassement du nombre de licences ne conceme pas les logiciels qui sont utilise 

avec un ordinateur isole et connecte directement par un port E/S a un LCL adapte a ce port. 

De plus, lors de Texecution des autres fonctions FFi pour i different de 0 par le logiciel LD, 
FFi verifie d'abord si la fonction FFo associee a LD n'est pas en cours d'execution. En Tabsence 
d*une execution en cours de FFo. FFi pour i different de 0, envoie eFj, S#, les parametres 
15 d*execution de Fi vers LCL via DRV. Lorsque le lecteur LCL a termine le traitement de eFj 
accompagne de ses parametres, les resultats sont retoumes a FF;, FFi retoume alors ces resultats au 
logiciel LD. Si un message d'erreur est re9u, Texecution du logiciel LD s'arrete. Contrairement a 
des systemes de protection de logiciels qui utilisent des verifications de codes, les logiciels 
proteges selon la presente invention, possedent une protection incontoumable par rapports a la 
20 difficulte de pouvoir trouver une fonction equivalente aux fonctions de Fj utilisees. 

Selon la realisation de la presente invention, compte tenu du processeur CPUl, le systeme 
d'exploitation du microcontroleur 100 est un systeme multitache afm de pouvoir traiter plusieurs 
utilisation de logiciels proteges selon la presente invention en meme temps. La realisation de ce 
systeme d'exploitation se r^fere a des standards de systemes multitaches existant concemant les 
25 processeurs 80386 de la societe Intel. De plus, la securite du systeme de protection de logiciels 
selon la presente invention, repose en particulier sur Texecution d'un seul programme principal a la 
fois par le processeur CPU2. 

Scion la realisation de la presente invention, a la reception complete d*un paquet 
d'informations, CPUl les charge dans la memoire DRAM 109. Dans le cas de donnees 
30 (correspondantes a un logiciel donne numerot6 S#) du type eFi et des parametres associes a eFi, la 
liste de test suivant est realisee : i est egale a 0 701, eFj correspond a un logiciel numerote S# qui a 
dej^ ex&ute une fois FFq avec succes 702, Theure indiquee par I'horloge 104 est egale k Theure 
Htop (valeur precedemment definie correspondant au logiciel numerote S# qui a dans cette 
condition deja execute une fois FFq avec succes) exprimee par rapport a Theure de Thorloge 104 
35 avec une erreur de plus ou moins deux secondes (test 703 ou 705), le nombre (note NL.S#) courant 
de licences utilisees (correspondant au logiciel numerote S#) augmente de 1 est strictement 
superieur a la valeur L#.S# du fichier Fich.S# (correspondant au logiciel numerote S#) foumi par la 
carte CL (test 704). Les Elements de cette liste de tests sont notes respectivement testl, test2, test3, 
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tcst4. Le chiffre associe a ces tests indique Tordre de ces tests dans les conditions de leurs 
realisations. En r6f6rence a la figure 12, le test testl 701 correspond au d6but de Tarbre d'analyse 
qui est affectum done en consid6rant un logiciel donn6 numerot6 S#, et un identifiant unique DDIP 
qui est le num6ro adresse IP de chaque ordinateur sur le reseau consider^. Ce numero permet ainsi 
5 d*associer chaque session d'exdcution de logiciels par rapport a un ordinateur donn6 dudit reseau. 
Selon des variantes de cette realisation, d*autre identifiant unique peuvent etre associe directement 
a une session d'execution d'un logiciel donne par I'emploi d'un identifiant de processus combine 
avec Tadresse reseau de Tordinateur ou se trouve ce processus. Ainsi, la pr6sente realisation 
considere 1' identifiant unique associe a une adresse IP comme un exemple de moyen possible pour 
10 identifier un ordinateur sur ledit reseau. Ainsi, au debut de Tarbre d'analyse de la figure 12, les 
informations S# et IP (IDIP) sont supposees foumies par la fonction FF; avec le driver DRV. Ces 
deux informations sont envoyees vers ledit lecteur LCL dans le paquet d'informations PARAM 
precedemment decrit. 

Selon la realisation de la presente invention, par rapport au test test4 704, si le resultat est une 
15 valeur fausse au sens booieen, alors la nouvelle valeur de NL.S# 709 est celle de Tancienne 
augmentee de 1 , a condition que le test test2 702 soit faux et que le testl 70 1 soit vrai. 

Par rapport a une valeur vraie du test test3 703, et a condition d'une valeur vraie des tests testl 
701 et test2 702, CPUl effectue un lecteur de Theure courante sur Thorloge interne 104, pour 
calculer la nouvelle valeur de Htop exprimee par rapport a Theure de Thorloge associee a 
20 I'ordinateur executant le logiciel S# dans les conditions de ces tests et le contexte de ces conditions. 
La nouvelle valeur de Htop est a egale Tancienne augmentee de 5 minutes (par exemple), selon la 
realisation de la presente invention. Cette valeur de 5 minutes est ajustee de telle sorte que deux ou 
plusieurs logiciels ayant le meme numero S# et toumant sur des ordinateurs differents, ne puissent 
pas executer la fonction FFo correspondante en meme temps (il faut tenir compte de ladite erreur de 
25 plus ou moins deux secondes). Cette valeur de 5 minutes pent done etre remplacee, par tout autre 
valeur en fonction de la phrase precedents A la fin du test test3, une execution 706 de la fonction 
Fo a lieu. 

Par rapport a une valeur fausse du test test3 703, et a condition d*une valeur vraie des tests 
testl 701 et test2 702, un message d*erreur 707 est alors retoume a la session d'execution du 

30 logiciel correspondant a Texecution de la fonction FFo dans les conditions de ces tests et le 
contexte de ces conditions. De plus, CPUl diminue de 1 point le compteur NL.S# associe aux 
logiciels au numero de serie S#. Le systeme d'exploitation du microcontroleur 100 dans le cadre de 
la protection de plusieurs logiciels en meme temps, gere une liste d'objets references par les 
differents identifiants IDIP correspondant a tous les ordinateurs du reseau qui executent un logiciel 

35 protege selon la presente invention. Cette liste d'objets est etablie a partir des informations de 
PARAM. Les champs de chacun de ces objets servent a enregistrer les numeros de serie S# des 
logiciels numerotes S# qui sont executes sur Fordinateur dont I'identifiant IDIP correspond a ladite 
reference IDIP de ces objets. Cette liste d'objet permet la gestion de I'utilisation des logiciels 
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prot6g6s en fonction des ordinateurs. Lorsque NL.S# est diminu6 de 1 point par rapport un 
ordinateur identifi6 par IDIP et qui ex&ute le logiciel nmndrote S# qui a provoque cette 
diminution, le champ de I'objet miP correspondant qui contient la valeur de S# est efface. Cette 
gestion permet a ce que une nouvelle execution d'un logiciel num6rot6 S# puisse avoir lieu, n faut 

5 aussi noter que la valeur de NL.S# est le total desdits objets possddant un champ identique a la 
valeur de S# dans la notation de NL.S#. Ainsi, en contrepartie lorsqu'une augmentation de 1 point 
de la valeur de NL.S# a lieu, un nouveau champ dans I'objet IDIP de ladite liste d'objets est cree. 
L'objet IDIP correspond a I'ordinateur numerote IDIP qui execute la fonction FFi du logiciel S#. 
Ledit nouveau champ prend alors la valeur de S#. 

10 Par rapport a une valeur vraie du test test4 704 et d'une valeur fausse du test test2 702 et d'une 

valeur vraie du test testl 701, un message d'erreur 708 est alors retoum6 a la session d'ex^cution 
du logiciel coirespondant a I'execution de la fonction FFo dans les conditions de ces tests et le 

contexte de ces conditions. 

Par rapport h une valeur vraie du test test3 705, et a condition d'une valeur fausse du test testl 
15 701, CPUl diminue de 1 point le compteur NL.S# associ6 aux logiciels numerotes S#. Ladite liste 
d'objets IDIP est actualisee en consequence. Un message d'erreur 710 est alors retoume a la 
session d'execution du logiciel correspondant i I'execution de la fonction FFo dans les conditions 
de ces tests et le contexte de ces conditions. 

En rdfdrence a la figure 12, pour une valeur vraie du produit (testl 701 et test2 702 et tcst3 
20 703) dans I'ordre de leur realisation, pour une valeur feusse du produit (testl 701 et test2 702 et 
test4 704) dans I'ordre de leur realisation, et pour une valeur fausse du produit (testl 701 et test3 
705) dans I'ordre de leur realisation, le r^sultat conduit a un traitement de eFj par CPUl . 

Bien entendu, I'ensemble de ces tests est ddfini par rapport a la realisation de la presente 
invention pour permettre les fonctionnalites de protection de plusieurs logiciels en meme temps par 
25 un seul lecteur LCL. L'arbre d'analyse de la figure 12 est simplifi6 au maximum par soucis de 
clartd de comprehension. Selon des modes particuhers de reahsation. les conditions des tests et le 
contexte de ces tests peuvent varier. 

En cas d'utilisation intensive, une file d'attente est crdee pour faire exdcuter une i une les 
fonctions Fi par le processeur CPU2. Afin de diminuer le temps d'attente, une condition de duree 
30 autorisee pour I'execution d'une fonction Pi donnee peut etre fixee, par exemple 1/100 de secondes 
valeur definie par rapport a la vitesse de calcul du processeur CPU2. Cette condition de duree devra 
etre respectee par le developpeur de logiciels proteges selon la presente invention. 

Selon la realisation de la presente invention, les informations d'utihsation d'un logiciel donne 
numerote S# sont foumies par la carte CL. Ainsi, lorsqu'il est necessaire par rapport a l'arbre 
35 d'analyse, notamment a I'etape 704, le microcontroleur 100 effectue une requSte auprfes de la carte 
CL. Ainsi, CPUl effectue dans I'objectif d'executer Fj, une requ6tc i propos du logiciel numerote 
S#, auFes de la carte CL connecte dans le contexte de cette requete. Dans les conditions de succes 
de la procedure d'authentification precedemment definie entre LCL et CL, et dans les conditions de 
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la possessions du fichiers Fich.S# associi au logiciel numerot6 S# du contexte de cette requete, le 
microcontroleur 400 de la carte CL retoume au LCL sous une forme cod6e par la cl^ kCS, le fichier 
Fich.S#. Le microcontroleur 100 met alors a jour les champs suivants : DR.S# (demiire utilisation) 
remplac6e par la date courante, DU.S# recalcul6, Nombre d*execution du logiciel. DR.S# est mise 
5 a jour par rapport i la date et Theure de la premiere execution de la fonction FFo par rapport au 
demier lancement d'une execution du logiciel S# associe a cette fonction. DU.S# est recalculte 
avec la valeur dynamique de Htop et Theure courante indiquee par Thorloge 104 au moment ou 
Tex^cution d'une fonction FFj correspondante a lieu. Le champ « Nombre d'ex6cution du logiciel » 
est calcule par rapport a la demiere execution du logiciel associe au contexte de ce calcul. II est 

10 done augmente d'un point i chaque nouvelle execution. L'ensemble de ces tests est optimise en 
fonction du flux des requetes des differentes fonctions FFj executees par les logiciels 
correspondants sur les differents ordinateurs connectes sur le reseau avec le lecteur LCL considere 
dans le contexte de ces mises a jour d' informations. 

Selon la realisation de la pr^sente invention, les valeurs de L#.S#, kEL.S# et kX.S# (d'autres 

15 champs du fichier concem^s peuvent etre retenus par CPUl selon les besoins) sont m^moris^es 
dans la DRi\M 109. Fich.S# modifie est ensuite retoume k CL sous une forme codec par kCS. Afin 
d'empecher des actes de piraterie, si la carte CL est enlevee pendant que le lecteur LCL utilise la 
carte CL pour effectuer des operations concemant la presente invention, le lecteur LCL met fin a 
toutes les sessions d'execution de logiciels proteges selon la presente invention, en lew rctoumant 

20 un message d'erreur. Selon des modes particuliers de realisation, les appareils selon la presente 
invention, peuvent ne pas retoumer ainsi un message d'erreurs, dans la mesure oil des fichiers 
Fich.S# peuvent etre stockes en permanence dans le lecteur LCL de la meme maniere que celle 
employee avec la carte CL. 

Ainsi, selon la realisation de la presente invention, la valeur L#.S# empeche de depasser le 

25 nombre de licences d'utilisations d*un logiciel protege selon la presente invention. 

Selon la realisation de la presente invention, pour le cas i=0, la cle kEL.S# foumie par le 
fichier Fich.S# est utilisee pour decoder cFq. CPUl obtient ainsi ledit fichier de conditions 
d'utilisation du logiciel associe a ce eFo. CPUl compare la valeur de ces differentes informations 
par rapport au fichier Fich.S# associe. A titre explicatif, si Tutilisation est fixee par rapport a une 

30 date d'expiration, ledit fichier de conditions d'utilisation renseigne cette valeur limite par son 
champ correspondant Selon des modes particuliers de realisation, ledit fichier de conditions 
d'utilisation peut ne pas comporter tout ou partie des champs suivants : licences permanentes, 
duree d*utilisation, Tutilisation expire fin, nombres d*executions. 

Selon la realisation de la presente invention, apr^s le succes de la comparaison des donn^es 

35. foumies par le fichier Fich.S# avec le fichier de conditions (limites) d'utilisation decodee par la cle 
kEL.S# et associee i cFo, et toujours pour i=0, CPUl recupere aussi avec la cle kEL.S# les « byte 
code » JAVA (code d*instruction JAVA) de la fonction Fq. 
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Selon la realisation de la pr^sente invention, pour i different de 0, les donn6es codecs eFi sont 
decodees a I'aide de la cle kX.S# renseignee par le Fich.S# correspondant CPUl recupere alors les 
« byte code » JAVA (code d'instruction coirespondant a la machine virtuelle JAVA) de la fonction 
Fi. 

5 Ces codes d'instruction sont charges alors par I'intermediaire de I'interface 106 directement 

dans la DRAM 110 grace au contrdleur DMA 107. Par Tintermediaire du controleur du CPU2, 
CPUl donne la main au CPU2 (processeur PicoJava) pour Texecution de Fj dont les param^tres 
d'ex&ution ont ete charge au prealable. Le watchdog 108 surveiUe au bon fonctionnement du 
CPU2. A la fm de I'ex&ution de Fj par CPU2, les resultats sont rdcupirfe par CPUl et retoum6s 
1 0 vers Tordinateur qui a envoy6 les donn6es eFi. 

Dans les contextes d'utilisation 30 et 20, un lecteur LCL peut etre utilise avec un ordinateur 
personnel grace a une connexion directe entre leur port E/S USB respectif. Pour ces deux contextes 
la protection de logiciels par le lecteur LCL est une version simpHfiee des fonctionnalites en 
reseau. Par consequent, la pr6sente description n'apportera pas de renseignements suppl&nentaires. 
15 Selon des modes particuliers de realisation, le champ « durte d'utilisation » du fichier de 

conditions d'utilisation peut etre utiHse pour caracteriser I'utiUsation de logiciels de 
demonstrations. Ainsi, le fichier de conditions d'utilisations fixe en particulier des conditions 
d'utUisation limite. Le fichier d'autorisation d'utilisations renseigne la « quantite » d'utilisation en 
cours. Les deux fichiers combines permettent selon la reaUsation de la presente invention, de 
20 proteger un logiciel centre le non respect de ses conditions d'utihsations. 

De plus, le format du fichier de conditions d'utilisation est surtout interessant pour developper 
des applications de demonstrations dont I'utiUsation est limit6c. Dans ce contexte, une procedure 
de protection particuli^re peut etre utilisfe pour que la creation de logiciels prot^gfe selon la 
presente invention, puisse etre effectue sans passer par I'intermediaire du serveur aSVR. Cette 
25 fonctionnalite est interessante pour permettre notamment de decentraliser la protection de logiciels 
selon la presente invention. De plus, pour lancer une telle procedure de protection, le choix sera 
effectue a I'aide du programme PGM. 

Par rapport a la procedure de protection de logiciels precedemment decrite, les fonctions Fi 
sont maintenant cod6es avec une cle secrete kLi de ladite liste {kLi+i,kLi+2,kLi-t3,....kLitm}, qui 
30 correspond a la semaine courante pendant laqueUe cette procedure speciale de protection de 
logiciels est lancee. L'usage de ces cies est interessant uniquement pour les logiciels dont 
I'utilisation est limitee dans le temps a cause de la definition de ces cies kLi. Bien sQre, le lecteur 
LCL qui effectuera cette procedure ne communiquera pas la valeur de kLi par rapport a sa 
definition. Pour etre distribue, le logiciel ainsi protege devra etre accompagne des indications sur la 
35 semaine pendant laquelle cette procedure particuliere de protection a ete effectuee. Ainsi, lorsqu'un 
utilisateur desire ex6cuter un logiciel protege de cette maniere (par la cle kLi), il n'aura pas besoins 
de contacter le serveur aSVR, car toutes les informations s'y trouvent sur le media 
d'enregistrement. Cependant I'utilisation du logiciel reste dependante d'un lecteur LCL compte 
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tenu du cryptage. Ainsi, Tutilisateur pourra disposer immddiatement du logiciel, mais ne pourra pas 
d^asser les conditions d'utilisations fix^es dans le fichier de conditions d'utilisation. La realisation 
de la pr&ente invention empeche une rfiutilisation d'un logiciel dont I'utilisation est limitte dans le 
temps. Des explications seront donn^es par la suite. 

De plus, la presente invention conceme une mdthode rendant Tutilisation des appareils selon 
la pr&ente invention, transparente du point de vue informatique par Tinterm^diaire d*un 
programme not6 PGM qui a deja ete abord6. Le programme PGM est developpe de telle sorte qu*il 
puisse permettre a un utilisateur des appareils selon la presente d'effectuer des operations 
necessitant une interactivity avec ces appareils. Son utilisation est generalement sous-entendue dans 
la presente description. II a aussi pour role de permettre a un LCL donne de se connecter k un 
systeme informatique distant en utilisant les ressources de conununication de Tordinateur hdte et 
du systeme informatique de cet ordinateur. 

Le progranune PGM est utilise en parallele avec un programme driver DRV. Ce driver DRV 
constitue une couche de communication entre PGM et un lecteur LCL donne. II assure la 
transparence de I'utilisation du lecteur LCL. L*adjonction de ces deux elements dans un ordinateur 
donne est illustre sur la figure 2. Ces deux programmes remplissent toutes les fonctionnalites 
decrites precedemment et par la suite. Une convention est adoptee sur les procedures 
d'inten-ogation d'un LCL donne afin de permettre a ce lecteur LCL de reconnaitre et d'executer des 
commandes qui sont integres au systeme d'exploitation de son microcontroleur 100. Ces 
conmiandes sont definies lors de la construction des lecteurs LCL. 

.:En retour, selon la presente invention, PGM peut aussi interpreter les informations provenant 
des commandes envoyees par LCL. Ces commandes sont essentiellement, selon la realisation de la 
presente invention, des instructions pour permettre a un LCL d'acc^der a un systeme distant. 

Ainsi, selon ia convention adoptee pour communiquer avec un lecteur LCL donne, des 
conunandes sont definies par rapport a la possibilite pour les lecteurs LCL, de se connecter a aSVR 
par I'intermediaire des ressources disponibles de communication reseau pour permettre par 
exemple une mise a jour du systeme informatique interne des appareils selon la presente invention 
ou encore la mise a I'heure de I'horloge interne 104 en cas de dysfonctionnement (la pile 103 est 
epuisee). 

Selon le contexte d^utilisation 20 indique sur la figure 1, un recepteur hertzien numerique 22 
est connecte sur le bus exteme 1 14 du microcontroleur 100, pour permettre a un lecteur LCL donne 
de recevoir des infonnations directement de I'organisme qui gere le serveur aSVR. Bien entendu, 
ce recepteur sera integr^ dans le boitier retenu pour I'utilisation du lecteur LCL. II est ainsi possible 
d'envoyer des informations a tous les lecteurs LCL en service de maniere g^nerale et/ou specifique. 
De plus, la faible consommation de ce type de recepteur par rapport a un fonctionnement avec des 
piles electriques, permet de les laisser en fonctionnement permanent, meme si le lecteur LCL est 
eteint. Selon une variante d'utilisation d'alimentation electrique, des piles rechargeables peuvent 
etre employees avec le radiorecepteur 22 independamment de 1 'alimentation electrique du LCL 
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(foumit eventuellement par le reseau electrique local). Bien entendu, le recepteur dispose de sa 
propre m^moire pour permettre de conserver les donnees re9ues de Tdmetteur 13 lorsque le lecteur 
LCL est 6teint. Ainsi, le serveur aSVR peut envoyer des informations conune par exemple la mise 
a jour du systeme d'exploitation du lecteur LCL et/ou de la carte CL par Tinterm^diaire d*un 
5 emetteurl3. 

Selon une variante du fonctionnement des lecteurs LCL, une condition de duree peut 6tre 
ajouter en plus des informations concemant les dates de mise en service et de fin d'utilisation 
(DB.d et DE.D). Cette condition est relative a Tutilisation de LCL avec le radiorecepteur 22. Ainsi, 
un lecteur LCL qui n'aurait re9u aucunes informations provenant de Tcmetteur 20, refusera de 
10 fonctionner au moment de sa mise en marchc par un utilisateur. Une procedure de connexion sur 
aSVR par Tintermidiaire du programme PGM devra etre effectuee afin de recuperer les 
informations que ce lecteur LCL aurait pu manquer pour cause de mauvaise reception radio. Cette 
recuperation se fait bien sure par Tintermediaire de la cle kT.d pour securiser la communication 
entre aSVR et le lecteur LCL en question. 
15 De plus, afm d*envoyer de Temetteur 13 des informations de maniere s&urisee, les clis 

secretes kLi precedemment decrites sont utilisees pour coder ces informations a envoyer par radio 
aux lecteurs LCL. On note ces informations MR. De plus, kLi est choisie de telle sorte qu'elle 
correspond avec la semaine oil les informations partent de T^metteur 13. On note eMR la forme 
codec de MR par kLi. En choisissant d'emettre les informations MR a partir du lundi qui suit la 
20 semaine (commengant un lundi et se terminant fin dimanche) oii ces informations MR ont 6x6 
definies, les memes informations sont envoyees en repetition suivant un intervalle donne durant 
toute la semaine. Ceci permet de s'assurer qu'elles ont bien 6X6 regues, et d'eviter trop de 
connexion de LCL vers aSVR. 

Cette variante de la presente invention presente beaucoup d'avantage, car elle permet dans un 
25 premier temps de retoumer les fichiers Fich.S# de manifere s^curisee vers le lecteur LCL 
correspondant a Tacheteur du logiciel associe a Fich.S#. Bien entendu, I'emetteur 13 peut envoyer 
de maniere specifique des informations vers un recepteur radio 22 donne. Cette variante permet un 
achat sans connexion informatique, mais par I'utilisateur directement au telephone avec un accueil 
humain. Cette variante permet une complete separation de la distribution du media 
30 d*enregistrement contenant un logiciel donne, de la vente des licences d'utilisation de ce logiciel 
doime. 

Dans un deuxieme temps, cette variante permet d'envoyer des informations concemant la 
perte d*un appareil Compte tenu des capacites de stockage des modules de « Disque Flash », un 
circuit DiskOnChip non illustre de la societe Msystems est connecte avec un controleur 6ventuel 
35 sur le bus exteme 1 14 du microcontroleur 100 pour permettre au microcontrdleur 100 de disposer 
d'un disque de stockage. Un DiskOnChip de 12 megaoctets est choisit selon la realisation de la 
presente variante de I'invention. Selon d'autres variantes, une carte Disque Flash PCMCIA peut 
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etre employee a la place du DiskOnChip. Ainsi, 4 reception des informations eMR, le 
microcontroleur 100 decode eMR i Taide de la cl6 kLi de la semaine courante. 

Ainsi, pour d^sactiver un appareil CL et/ou LCL donnes par rapport i leur utilisation, une 
information correspondant a son num^o de sdrie peut etre jointe. Ce numero de serie est alors 
5 sauvegard6 sur le circuit DiskOnChip dans un fichier note ANNUL qui sert a stocker tous les 
numeros de series des appareils selon la pr6sente invention, qui ne doivent plus etre utilises. Selon 
des modes particuliers de realisation, par rapport i la security n&essaire contre des modifications, 
ledit numero peut ne pas etre code lors de son Emission de I'dmetteur 13. 

Selon la presente invention, un proc^de informatique d'authentification et de signature par 
10 LCL est effectu6 sur le fichier ANNUL. La signature ^lectronique et les informations de 
Tauthentification sont stock^es dans la mdmoire interne 111 du microcontroleur 100. Ainsi, le 
microcontroleur 100 a chaque demarrage verifie si le fichier ANNUL n'a pas ^te remplace par un 
autre fichier au meme format ou modifie par une operation non autorisee. 

Ce fichier ANNUL est alors utilis6 lors de la procedure d'authentification entre une carte CL 
15 donnee et un lecteur LCL donnte par rapport a la procedure precedemment decrite. Si CL presente 
un BDx qui est reference dans le fichier ANNUL, LCL rejette alors la carte CL en question. De 
plus, au ddmarrage de LCL et/ou a reception d'une information MR, le microcontroleur 100 du 
LCL, verifie si son propre ID.d n'est pas reference dans le contenu de MR et/ou ANNLfL. Si le cas 
se presente, le microcontroleur 100 se met hors service en detruisant le contenu de sa memoire 
20 interne. 

Ainsi. compte tenu de la realisation de la presente variante, un appareil CL ou LCL peut etre 
mis hors service dans un maximum de 1 semaine. 

De plus, selon la realisation de la presente invention, les appareils ont une utilisation d'au 
maximum 4 ans. Cette duree peut tout a fait se ramener a 2 ans. Dans le contexte de cette duree, en 

25 considerant une possibilite de pertes des appareils selon la prdsente invention, avec un volume de 1 
million de pertes d'appareils en 2 deux ans (les pertes volontaires seraient empechees par le prix 
d*achat d'un nouvel appareil en cas de perte). Ce volume peut sembler exagdrer. Compte tenu des 
capacites des m6thodes de compressions (un taux de 50%), et compte tenu de la taille de 128 bits 
d'un numero de serie ID, il faudrait done environ et sans compression 15 mdgaoctets. 8 megaoctets 

30 avec compression d'espace de stockage de donnees. Sur une duree d'utilisation de deux ans des 
appareils selon la presente invention, la capacity de la DiskOnChip selon la presente variante suffit. 
Pour le cas de duree d'utilisation plus longue, des capacites de stockage plus grandes peuvent etre 
prises compte tenu de la capacite des modules DiskOnChip dans Tdtat actuel de Tart. 

De plus, ledit radiorecepteur numerique, compte tenu de sa capacite de recevoir des 

35 informations qui le conceme uniquement, lors de Tachat d'une licence de logiciel, I'utilisateur peut 
recevoir par radio le fichier Fich.S# (decrite precedemment) correspondant k son achat de licences 
du logiciel num6rote S#. Cette fonctionnalite peut avoir un grand impact au niveau commercial 
(rachat de logiciel peut etre effectue partout sur la planete sans connexion). Bien sure, Fich.S# est 



wo 99/39256 PCT/FR99/00182 

-36- 

envoy6 sous forme codfc avec la c\6 kLi de la semaine courante. Selon des variations de 
realisations, on peut utiliser une cU de type kT.d pour les operations d'achat 

La possibilit6 de faire rejeter I'utilisation d'un appareil selon la presente invention par le reste 
des appareils selon la presente invention, pennet de donner aux utilisateurs la possibilite de 
5 r6cup6rer une partie du contenu de leur carte CL perdue. 

Ainsi, en tenant compte du format de fichier Fich.S#, la taille de ce fichier peut etre ramenfe a 
66 octets dans un fichier nommi rFich.S#, en conservant uniquement les champs suivants : S# du 
logiciel, ID.C, L#.S#, kEL.S#, kX.S#. En considerant uniquement les logiciels dont I'utilisateur 
possWe une licence d'utilisation permanente, rFich.S# suffit pour d6finir I'utilisation de ces 
1 0 logiciels prot6g6s selon la pr&ente invention. Ainsi avec un module de m^moire de 64 kilooctets, 
on peut stocker au moins 990 licences de logiciels dififerents dont I'utilisation peut etre d6fmie par 
rFich.S#. Selon cette nouvelle variante, I'organisme qui gfere aSVR, foumit lors de I'achat d'une 
carte CL une carte si puces (SmartCard) not^e SC, et pouvant securiser des donnees en lecture et en 
modification. SC n'est pas illustree. SC comportc un microcontroleur integrant sur une seule 
15 pastille de silicium, un processeur, un module memoire Flash de 64 kilooctets, de la ra6moire 
DRAM et OTPEPROM. Les accfes en memoire sont controles par le processeur du microcontroleur 
de SC. Cette carte est une carte a puces securisee. Cette carte a puces est utilisee h chaque fois que 
I'utilisateur acquiere 16galement une nouvelle licence pour une ou des utilisation(s) permanente(s) 
d'un logiciel donn6 prot6ge selon la pr6sente invention. Lors de cette acquisition, cette carte est 
20 inseree dans le lecteur de cartes a puces qui communique avec le microcontiroleur 100 du lecteur 
LCL par le moyen du controleur de cartes i puces 153. Le fichier rFich.S# sera alors copie dans le 
module de memoireS Flash de 64 kilooctets du microcontrSleur de la carte a puces. Bien entendu, la 
carte a puces SC possede en interne une cle secrete kLi de la m6me maniere que la carte CL. Cette 
cl6 est utiliste lors d'une procedure d'identification similaire a celle qui a lieu entre le lecteur LCL 
25 et la carte CL. Des modifications du contenu de la carte SC ne peuvent etre effechiees uniquement 
par un lecteur LCL connect^ a une carte CL associee. Ainsi, pour cette variante de la realisation de 
I'invention, rFich.S# est stocks soiis une forme codec, not6e erFich.S#, par la c\6 kS.c de la carte 
CL. De plus, compte tenu des propri6t6s de securite des cartes a puces (SmartCard), erFich.S# et 
ainsi protege centre la modification ou la lecture non autorisee. De toutes maniere cette information 
30 est protege. De plus, par I'emploi de la c\€ kS pour codec rFich.S#, cette carte ne peut ktce utUis6e 
qu'avec la carte CL d'oii les fichiers rFich.S# proviennent. Bien sOre, si I'utilisateur a achete des 
licences d'un logiciel S# en plus par rapport a celles qu'il a deji dans sa carte CL, LCL copie alors 
erFich.S# et I'envoie vers la carte CL correspondant. Les champs de rFich.S# sont mis A jour par 
rapport au nombre de Ucences nouvellement acquises. Le nouveau fichier erFich.S# obtenu 
35 remplace ensuite I'ancien dans la memoire interne du microcontroleur de la carte SC. 

Ainsi en cas de perte, la sauvegarde effectuee sur la carte a puces SC peut etre rteup6rer en 
deux etapes : achat d'une nouvelle carte CL, connexion vers le serveur aSVR par l'inteim6diaire du 
programme PGM. 
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Lors de la connexion sur le serveur, rutilisateur communique par Tintemi^diaire de son 
programme PGM, le numero de serie ID.c de son ancienne carte CL (ID.c est une donn6e publique 
non modifiable : il est affichd en clair sur le boitier 60 de chaque CL). Ensuite, Tutilisateur 
communique le numero de s6rie de sa nouvelle carte CL. En dchange, aSVR retoume une donnte 
5 qui est la forme cod6e de la cle secrfete kS de la carte CL perdu. Cette cl6 est codte par la cl6 kT.d 
du lecteur LCL sur lequel la nouvelle carte CL est connectte. L'acquisition de la cl6 kS de la carte 
CL perdue permet de r6cuperer ainsi le contenu des fichicrs rFich.S#. 

Selon la variante de T invention utilisant le radior&epteur, le numero ID.c de la carte CL 
perdue peut etre conmiuniqud oralement par tdl6phone. LCL re9oit alors par Tinterm^diaire de son 

10 radiorecepteur numerique et sous une forme codee par la cl6 kLi de la semaine courante, la cU kS 
de la carte CL perdue et correspondant audit numero E).c de la carte perdue. L'acquisition de la cle 
kS de la carte CL perdue permet de recuperer ainsi le contenu des fichiers rFich.S#. 

De Tautre cot6, aSVR lance une procedure pour desactiver Tutilisation de la carte perdue en 
envoyant selon la variante de I'invention precedemment decrite, le numero ID.c de la carte perdue 

15 a tous les lecteurs LCL. 

Selon une autre variante de Tinvention, le stockage des fichiers Fich.S# peut etre effectu^ par 
le lecteur LCL en suivant les conditions de securites similaires au fonctionnement d'une carte CL 
au; niveau du stockage de ces fichiers. Les fichiers Fich.S# seront alors stock^s sur m&iia 
d'enregistrement exteme prevu pour ce stockage. On peut utiliser par exemple une DiskOnChip. 

20 Les fichiers stockes sur ce support sont proteges par la c\6 kS.d du lecteur LCL correspond. Dans 
cette variante, la c\6 kS.d est une cle secrete inscrite dans la memoire interne 1 1 1 lors de la 
programmation en usine du microcontroleur 100. Ainsi lorsqu'une ou des licence(s) de logiciels 
sont deplaces vers le lecteur LCL, Tacces aux logiciels proteges selon la presente invention, et 
associes a ce lecteur LCL peut etre realisee independamment de la presence d*une carte CL. Ceci 

25 permet une utilisafion par toutes les personnes pouvant acc^der a I'ordinateur sur lequel ledit 
lecteur LCL est connecte. Bien entendu, lors d*un deplacement de licences de logiciels d'une carte 
CL, les informations seront mises a jour dans la carte a puces SC en obligeant la connexion de la 
carte a puces SC correspondant a cette carte CL sur le lecteur adapte du lecteur LCL. Par exemple 
lorsque deux licences d'un logiciel numerote S# sont deplacee de la carte CL vers un lecteur LCL, 

30 le contenu du fichier eFich.S# de la carte CL et le contenu du fichier erFich.S# de la cartes a puces 
SC seront modifies en consequence afin d'ecrire un fichier d'utilisations de logiciels au niveau du 
lecteur LCL. Dans cette nouvelle fonctionnalite du lecteur LCL, une carte a puces du meme type 
que SC devra etre associee a chaque lecteur LCL pour permettre une sauvegarde des fichiers 
Fich.S# relafifs a des licences d'utiUsations permanentes de logiciels. Ainsi, cette carte a puces 

35 devra etre inseree immediatement apres les deplacements des licences d'utilisations de la carte CL 
vers le lecteur LCL pour valider le transfert. Compte tenu du fait que les autorisations d'utilisations 
de logiciels copiees dans le lecteur LCL peuvent etre transferer par une operation inverse a celle 
qui vient d'etre decrite vers une nouvelle carte CL, il est done possible de d6placer une autorisation 
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d'utilisation d'un logiciel prot6ge selon la pr&ente invention d'une carte CL vers une autre carte 
CL. Les cartes a puces SC respectives de ces deux cartes CL seront bien entendu mises a jour 
automatiquement. 

De plus, par rapport a ladite possibilite de changer de carte CompactFlash sur une carte CL, et 
5 par rapport a des autorisations d'utilisation de logiciels relativement h une utilisation limitee, un 
fichier eTPS est present sur chaque carte CompactFlash qui est utilisee par une carte CL donnee et 
numerotee ID.c. Cc fichier devra imperativement fitre present sur toutes les cartes CompactFlash 
utihsees par ladite carte CL. Autrement, la carte CL ne fonctionne pas. De plus, eTPS est la fonne 
codec du fichier TPS qui contient en premiere ligne le numero ID.c, puis tous les numeros de serie 
10 de logiciels S# acquis selon la presente invention, par I'utilisateur de cette carte CL. Ainsi, un 
utilisateur ne pourra contoumer les limites d'utilisations d*un logiciel d'utilisation limitfe par 
rapport par exemple au temps ou au nombre d'ex6cutions, en changeant de carte CompactFlash. 
Cette restriction s'applique selon la realisation de la presente invention, par exemple sur les 
logiciels gratuits. 

15 Ainsi selon des variantes evidentes de realisation qui ne seront pas d^ts (cette description 

n'apporte rien a la comprehension et a la reahsation de la presente invention), par rapport a sa 
capacite de protection d' informations contre toutes modifications, la carte CL pent servir au 
stockage d'informations public non modifiable tel que I'identite d'une personne. Ces informations 
pourront etre consultees par I'intermediaire de I'interface utilisateur representee par le programme 
20 PGM. La carte CL peut, en eflfet compte tenu de sa grande capacity de stockage permettre de 
stocker des programmes et/ou des compteurs relatifs a une valeur donnte, de maniere securisee 
contre des modifications et/ou lectures non autorisees selon un critere donne. De Tautre cdt^, LCL 
offre un moyen s^curise pour permettre Texecution de ces programmes supplementaires et/ou le 
traitement de ces compteurs relatifs a une valeur donnee. Le microcontroleur 100 est physiquement 
25 protege contre des programmes dits virus informatiques. On peut ainsi envisager de defmir le 
champ Misc des fichiers Fich.S# par des codes de programmes executables par le processeur CPU2 
du microcontroleur 100 ou par des compteurs de fidelite representant le nombre de licences de 
logiciels achetes par I'utilisateur a un concepteur de logiciels doimes, afin de permettre des 
operations commerciales correspondantes. Les codes de programmes eventuellement ajoutds dans 
30 le champ Misc peuvent permettre de modifier le comportement desdites fonctions Fj lors de leur 
execution par le lecteur LCL, afin de rendre quasiment impossible le piratage du logiciel 
correspond en essayant de remonter a la fonction Fj par une surveillance des entrees et sorties de 
donnees au niveau des appels des fonctions FFi. II est a rappeler que seule la forme codec eFj des 
fonctions Fi sont accessibles par Tutihsateur. 
35 Selon la presente invention, I'emploi d'un circuit integr6 (le microcontroleur 100) 

physiquement et logiquement protege contre des attaques de virus informatiques et contre les 
lectures et/ou des modifications de donnees contenues dans le circuit, permet un tres haut niveau de 
s6curite de protection de logiciels. Compte tenu des peripheriques de communications que peut 
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utiliser un tel circuit, les appareils selon la pr^sente invention, n*apparaisse plus cornme un appareil 
prohibitif de surveillance, mais un veritable outil participant activement k Futilisation des logiciels 
notamment par le fait que la pr&ente invention perniet de rteup^rer en s6curit6 des licences 
perdues. En effet, la pr&ente invention permet de rendre un outil de protection de logiciels, 
d'aspect souvent decoratif en raison du temps oil il est effectivement utilise, en un outil que 
I'utilisateur peut utiliser dans sa vie quotidienne par sa capacity de securiser le stockage de donnas 
et Texecution de programmes. Ainsi la pr6sente invention est un nouvel outil de protection de 
logiciel qui permet d'une part la distribution des logiciels ind6pendamment de la vente de leur droit 
d^utilisation, et d' autre part un developpement libre des logiciels proteges selon la pr^sente 
invention. Selon la pr^sente invention, cette separation a une grande consequence sur le cout 
necessaire pour prot^ger un logiciel. En effet, Tutilisation d'un seul appareil selon la pr^sente 
invention, pour la protection de plusieurs logiciels indipendamment des concepteurs de logiciels, 
permet de distribuer le cout d'un appareil selon la presente invention sur tous les concepteurs de 
logiciels, de sorte que le prix d'un seul appaieil selon la prdsente invention, devienne faible et 
abordable pour Tutilisateur. 

De plus, ladite separation permet selon la presente invention, la vente de moyens de 
protections de logiciels independamment des logiciels qui utilisent ces moyens pour la protection. 
La puissance de la presente invention au niveau des securites utilisees, permet compte tenu de sa 
vente separee du produit logiciel, une exploitation commerciale liee a d'autres operations. Ces 
operations peuvent etre des operations qui consiste a presenter des informations confidentielles que 
Tutilisateur ne peut modifier ou falsifier. Elle peut servir done a un outil permettant des acces a un 
systeme donne. Ainsi, la presente invention est un moyen de protection de logiciels qui permet des 
fonctionnalites parall^les a son utilisation. Ces fonctionnalites auront pour consequence la baisse 
du cout des appareils selon la presente invention et la baisse du cout de protection d'un logiciel 
donn6. La protection de logiciel selon la presente invention, devient par consequent un systeme 
interessant pour les petites et les grandes productions de logiciels. Les appareils selon la pr6sente 
invention sont susceptibles d'une industrialisation par rapport au monde de Tindustrie des logiciels 
et de leur protection. 

Bien entendu, Tinvention n'est pas limitee aux modes de realisation qui viennent d'etre decrits 
et representes. On pourra y apporter de nombreuses modifications de detail sans sortir pour cela du 
cadre de Tinvention. 
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Revendication 

1. Systeme pour la protection simultanee de plusicurs logiciels provenant de differents 
concepteurs de logiciels centre le non respect des conditions d^utilisation fix6es par ces 
concepteurs de logiciels, caracteris^s en ce qu'il comprend en combinaison : 

5 - un lecteur (LCL) comprenant au moins un periph^rique de communication (reseau, port 

E/S) creant une couche de communication superieure permettant T^change de donnees 
avec les logiciels proteges, un microcontroleur programmable une seule fois (100) qui 
integre sur une seule entity electronique deux parties (130, 120) separ6es par une interface 
(106) 

10 - un appareil portatif (CL) de type carte destine au stockage d'un grand nombre 

d'autorisations d*utilisation de logiciel prot6g6 comportant un module d'enregistrement 
amovible de forte capacite de stockage, et un microcontroleur (400) s^curise contre toutes 
intrusions non autorisees dans ses circuits intemes. 

2. Syst^e selon la revendication 1 caracterise en ce que la partie (130) du microcontroleur 
15 (100) comprend au moins un module de memoires non volatiles (111), un module de m^moires 

volatiles (109), un port serie E/S (151), une horloge interne en temps reel (104) et un processeur 
maitre (CPUl). 

3. Syst^e selon Tune quelconque des revendications precedentes caracterisee en ce que la 
partie (120) du microcontroleur (100) comprend au moins un module de memoires volatiles (110) 

20 et un processeur esclave (CPU2). 

4. Systeme selon Tune quelconque des revendications precedentes caracterisee en ce que le 
microcontroleur (100) securise physiquement et logiquement d'une part son espace mdmoire 
interne contre la lecture et/ou la modification non autorise, et d'autre part I'execution de 
programmes au sein de la memoire (110) vis a vis de la possibility pour un programme donne, 

25 execute dans cet espace memoire d'extraire des donnees du microcontroleur (100) presentcs avant 
Tex^cution de ce programme. 

5. Systeme selon Tune quelconque des revendications prdcedentes caracterise en ce que le 
microcontroleur (400) comporte au moins un module de memoires OTPEPROM (407) ou 
equivalent, un module de memoires dynamiques DRAM (107) ou equivalent, et un processeur 

30 (CPU). 

6.. Systeme selon Tune quelconque des revendications precedentes camcterisi en ce que le 
lecteur comprend un recepteur hertzien pour permettre des operations d'achat hors ligne de droits 
d'utilisation de logiciel protege, de mise a jour des microcontrdleurs (100, 400), ou ^administration 
du lecteur (LCL) et du dispositif portatif (CL). 
35 7. Systemes selon Tune quelconque des revendications precedentes caracterise en ce que le 

lecteur comprend un peripherique de communication pour la connexion et un systeme central 
distant pour permettre des operations d'achat de droits d'utilisation de logiciel protege, de mise a 
jour des microcontroleur (100, 400), ou d'administration du lecteur (LCL) et du dispositif portatif 
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(CL). 

8. Systeme selon Tune quelconque des revendications prec^dentes caracteris6 en ce que le 
microcontroleur est securis6 centre toute attaque physique et/ou logique et memorise au moins une 
s6rie de codes et de cl6s numeriques, utilises pour rtaliser une transmission s6curis6e d'information 

5 pour le transfert d'un droit d'utilisation de logiciel proteg6 du dispositif portatif (CL) vers un autre 
lecteur (LCL) ou a d'autres dispositifs portatifs (CL). 

9. Systeme selon Tune quelconque des revendications pr^c^dentes caract6ris6 en ce qu'il 
comprend en peripherique de sauvegarde exteme s6curise contre les lecture et/ou les modifications 
non autoris^es. 
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